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1 Einführung 

- Überblick und Ausblick - 

1.1 Eine zwiespältige Bilanz 

Dieser 19. Tätigkeitsbericht (T B), den ich dem Deutschen 
Bundestag vorlege, ist der fünfte und letzte in meiner Amts- 
zeit als Bundesbeauftragter für den Datenschutz. Er gibt ei- 
nen Überblick über meine Tätigkeit in den Jahren 2001 und 
2002, die wiederum neben der datenschutzrechtlichen Kon- 
trolle stark von der Beratung des Deutschen Bundestages, 
der Bundesregierung und der öf fentlichen Stehen des Bun- 
des in Fragen des Datenschutzes geprägt war. Vieles konnte 
zur Stärkung des Grundrechts au f informationelle Selbst- 
bestimmung erreicht werden, in anderen Bereichen besteht 
weiterer Handlungsbedarf, und es gibt immer wieder neue 
Fragestellungen und Problemfelder, die einer datenschutz- 
gerechten Lösung zugeführt werden müssen. Ein Tätigkeits- 
bericht kann deswegen immer nur eine Momentaufnahme 
ohne abschließenden Charakter sein. Er gibt Rechenschaft 
über die geleistete Arbeit und soll zugleich aufzeigen, wo 
aus Sicht des Datenschutzes weitere V erbesserungen erfor- 
derlich oder zumindest wünschenswert sind. 

Bei meiner Arbeit in den letzten zwei Jahren habe ich - auch 
bei unterschiedlicher Position in der Sache — viel V erständ- 
nis und Unterstützung gefunden. Dafür danke ich den Mit- 
gliedern des Deutschen Bundestages, aber auch den vielen 
Vertretern in Regierung und Verwaltung, die meinen Rat in 
Datenschutzfragen gesucht und angenommen und meine 
Tätigkeit insgesamt unterstützt haben. Mein Dank gilt aber 
auch den Mitarbeiterinnen und Mitarbeitern meiner Dienst- 
stelle, die mich mit unvermin dert großem Engagement und 
hoher Leistungsbereitschaft bei der Erfüllung meiner ge- 
setzlichen Aufgaben unterstützen. 

Auch der jetzige Berichtszeitraum hat wieder gezeigt, dass 
das Gespür für die Belange des Datenschutzes in Politik und 
Verwaltung, aber auch allgemein in der Gesellschaft, in den 
Kreisen der privaten W irtschaft und nicht zuletzt bei den 
Bürgern, um deren Grundrechtsschutz es schließlich geht, 
zwar weiter gewachsen ist, dem Datenschutz aber noch lange 
nicht von allen der Stellenwert eingeräumt wird, der ihm als 
Garant von Bürgerrechten in einem freiheitlichen Rechts- 
staat zukommen sollte. Ursache dafür sind auch of fenbar 
sich wiederholende Vorurteile und Missverständnisse. W e- 
der sind innere Sicherheit und Datenschutz zwangsläufig 
Gegensätze, noch behindert Datenschutz effizientes Verwal- 
tungshandeln oder stört die freie Entfaltung der wirtschaftli- 
chen Kräfte und Möglichkeiten. Und auch die leider immer 
noch vertretene Meinung, wer nichts zu verber gen habe, 
brauche keinen Datenschutz, geht an der Sache völlig vorbei. 

Eine Reihe von Punkten, die ich in meinem letzten Tätig- 
keitsbericht angesprochen habe, konnten im Berichtszeit- 
raum gelöst oder zumindest einer Lösung näher gebracht 
werden. Dies gilt aber leider nicht für alle Problemfelder , 
die ich dort - zum T eil nicht zum ersten Mal - thematisiert 
habe. So hat die Bundesregie rung noch immer keinen Ent- 
wurf eines Arbeitnehmerdatenschutzgesetzes vorgelegt, ob- 
wohl sie hierzu vom Deutschen Bundestag mehrfach aufge- 
fordert worden ist (vgl. Nr . 21.1). Auch zum unbefugten 
Aufnehmen und Verbreiten von personenbezogenen Bildda- 
ten steht eine gesetzliche Regelung weiterhin aus, obwohl 
die Regelungsbedürftigkeit allg emein anerkannt wird (vgl. 
Nr. 8.1). Die Zahl der T elefonüberwachungen ist im Be- 


richtszeitraum in Deutschland weiter deutlich angestiegen 
(vgl. Nr. 8.2.5), ohne dass es hierfür eine für mich nachvoll- 
ziehbare, befriedigende Erklärung gibt. Auch das hierzu in 
Auftrag gegebene Forschungsvorhaben (vgl. Nr . 8.3) liegt 
noch nicht vor. Diese Entwicklung erfüllt mich unverändert 
mit großer Sorge. Wir dürfen nicht zulassen, dass sich in un- 
serem Land schleichend und fa st unbemerkt eine Überwa- 
chungskultur entwickelt, deren tatsächliche Notwendigkeit 
nicht nachgewiesen ist. 

1 .2 Das neue BDSG - nur eine Etappe auf 
dem Weg zur umfassenden Reform 
des Datenschutzrechts 

Im Juni 2002 konnte das 25-jährige Bestehen des Bundes- 
datenschutzgesetzes mit einem Festakt in Berlin gefeiert wer- 
den (vgl. Nr. 33.1). Ein Jahr davor ist endlich nach langem 
Ringen das Gesetz zur Änderung des Bundesdatenschutz- 
gesetzes und anderer Gesetze in Kraft getreten (vgl. Nr. 3.2), 
das nicht nur die europäische Datenschutzrichtlinie 95/46/EG 
vom 24. Oktober 1995 in nationales Recht umgesetzt, son- 
dern darüber hinaus bedeutsame Neuerungen gebracht hat. 
Wichtige Weichenstellungen für die Zukunft bedeuten nach 
meiner Einschätzung die Verankerung des Grundsatzes von 
Datenvermeidung und Datensparsamkeit im Gesetz, die 
Einführung der Vorabkontrolle, das Verbot der automatisier- 
ten Einzelentscheidung, die Regelung zur V ideoüberwa- 
chung und zum Einsatz von Chipkarten und die Einführung 
des Datenschutzaudits. 

Aber gerade dieser letzte Punkt zeigt den großen Unter- 
schied, der zwischen der gesetzlichen Theorie und der prak- 
tischen Umsetzung bestehen kann. Denn die ins BDSG ein- 
gefügte Regelung zum Datenschutzaudit läuft so lange leer , 
wie das erforderliche Ausführungsgesetz, das die Einzelhei- 
ten regeln soll, nicht in Kraft getreten ist. Bislang besteht 
hierfür noch nicht einmal ein Entwurf (vgl. Nr . 3.2.1). Da- 
mit können sich aber auch die positiven Wirkungen, die den 
Datenschutz zum Wettbewerbsvorteil machen und dadurch 
in die technische und wirtsc haftliche Entwicklung integrie- 
ren sollen, noch nicht entfalten. Im Gegenteil besteht die 
Gefahr, dass auf dem Markt Auditierungsverfahren angebo- 
ten und eingesetzt werden, die dann später den gesetzlichen 
Anforderungen nicht entsprechen, was zu V erwirrung und 
Verärgerung bei Unternehmen und Verbrauchern führen und 
letztlich der Akzeptanz des Datenschutzaudits schaden 
kann. 

Auch sonst ist die Umsetzung des neuen BDSG in der Praxis 
noch lange nicht vollzogen. So hat eine Umfrage bei den 
obersten Bundesbehörden zur Position des behördlichen Da- 
tenschutzbeauftragten bei ihnen selbst und in ihrem jeweili- 
gen Geschäftsbereich (vgl. Nr 3.2.5) teilweise noch deutliche 
Defizite ergeben, obwohl der interne Datenschutzbeauftragte 
auch für den öf fentlichen Bereich zum Zeitpunkt der Erhe- 
bung seit über einem Jahr gesetzlich vor geschrieben war. 
Auch bei der Videoüberwachung zeigen sich Unsicherheiten 
(vgl. Nm. 3.2.2, 4.1), und noch lange hat nicht jede öf fentli- 
che Stelle V ideokameras, die den öf fentlich zugänglichen 
Raum überwachen, entsprechend der gesetzlichen Vorschrift 
kenntlich gemacht. V ergleichbare Vollzugsdefizite zeigen 
sich auch bei nicht öffentlichen Stellen, und dies nicht nur bei 
der Videoüberwachung. Von den Postdienst- und T elekom- 
munikationsuntemehmen abgesehen, gehören datenschutz- 
rechtliche Kontrolle und Beratu ng nicht öffentlicher Stellen 
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zwar nicht zu meinen Aufgaben. Ich kann aber dennoch fest- 
stellen, dass hier offensichtlich nicht überall die Vorschriften 
des BDSG bekannt sind und beachtet werden. Dies sollte 
auch bei der notwendigen W eiterentwicklung des Daten- 
schutzrechts berücksichtigt werden. Es macht in meinen Au- 
gen wenig Sinn, wenn erweitert en und verbesserten gesetz- 
lichen Datenschutzbestimmungen in der Praxis kein Vollzug 
folgt und dies nicht sanktioniert oder im schlimmsten Fall 
dieses Defizit noch nicht einmal festgesteht wird. Im Zuge 
der von der Bundesregierung angekündigten zweiten Stufe 
der BDSG-Novellierung sollte deswegen verstärkt darauf ge- 
achtet werden, das Gesetz überschaubar und praktikabel zu 
gestalten und seinen Vollzug zu verbessern. 

Die Vorbereitungen zu dieser beabsichtigten Reform des 
Datenschutzrechts sind im Be richtszeitraum weiter voran- 
geschritten (vgl. Nr. 3.3). So hegt ein vom Bundesministe- 
rium des Innern in Auftrag gegebenes umfangreiches Gut- 
achten vor, das eine umfassende und tiefgreifende Analyse 
des Modemisierungsbedarfs im Datenschutzrecht enthält 
und die Richtung für eine weit reichende Reform des Daten- 
schutzes weist. Die V orschläge der Gutachter , das Daten- 
schutzrecht zu vereinfachen und möglichst viele Spezialvor- 
schriften im BDSG zu integrieren, die Selbstbestimmung 
des Einzelnen zu stärken und gesellschaftliche Selbstregu- 
lierung sowie technischen Datenschutz verstärkt zu fordern, 
halte ich für sinnvoll und gut. Angesichts der in der Bun- 
desrepublik Deutschland bereits sehr ausdifferenzierten Da- 
tenschutzregelungen wird es aber nicht einfach sein, diese 
Überlegungen zeitnah umzusetzen, zumal es sich hierbei um 
grundlegende Weichenstehungen und noch nicht um kon- 
krete, ausformulierte Regelungsvorschläge handelt. Das 
Ziel, das informationelle Selbstbestimmungsrecht des Bür- 
gers zu einem selbstverständlichen, integrierten T eil der 
technischen, gesellschaftlichen, wirtschaftlichen und recht- 
lichen Entwicklung zu machen und nicht mehr als einen 
Eingriff von außen in diese Entwicklung zu begreifen, sollte 
aber in jedem Falle mit Nachdruck weiterverfolgt werden. 

1.3 Terrorismusbekämpfung und Innere 
Sicherheit - auch der Datenschutz 
ist gefordert 

Der furchtbare Terroranschlag vom 11. September 2001 und 
die fortbestehende weltweite Bedrohung durch den interna- 
tionalen Terrorismus, aber auch der Kampf gegen das orga- 
nisierte Verbrechen und das stete Bemühen um eine verbes- 
serte innere Sicherheit haben im Berichtszeitraum Recht 
und Praxis des Datenschutzes nachhaltig beeinflusst. Auf- 
grund der tief gehenden Bedeutung der gesetzlichen Maß- 
nahmen zur T errorismusbekämpfung auch für den Daten- 
schutz habe ich diesem Thema ein eigenes Kapitel 
gewidmet (vgl. Nr. 2). Auch wenn erste politische Äußerun- 
gen und erste Gesetzentwürfe zum Teil einen anderen Tenor 
hatten, hat sich im Ergebnis wieder gezeigt, dass wirksame 
Bekämpfung von Terror und Kriminalität und Datenschutz 
als Ausdruck des Grundrechts auf freie Entfaltung der Per- 
sönlichkeit und informationeile Selbstbestimmung keine 
unüberbrückbaren Gegensätze sein müssen, sondern sich 
sehr wohl in einem ausgewogenen Interessenausgleich un- 
tereinander verbinden lassen. Obwohl ich mit meinen Be- 
denken nicht immer durchdringen konnte, bewerte ich es als 
besonders positiv, dass es erst mals gelungen ist, neue Ein- 
griffsbefugnisse für die Sicher heitsbehörden zu befristen 


und einer Erfolgskontrolle zu unterwerfen. Nur so kann auf 
Dauer festgestellt werden, we lche Eingriffe und Beschrän- 
kungen beim Datenschutz wirklich zur V erbesserung der 
Gefahrenabwehr und inneren Sicherheit erforderlich sind 
und wo sich die Erwartungen der Sicherheitsbehörden und 
des Gesetzgebers nicht erfüllt haben, sodass ein Fortbestand 
der entsprechenden Befugnisse nicht gerechtfertigt ist. Da- 
mit ist der W eg frei, Einschränkungen des Datenschutzes 
auch wieder abzubauen, wenn sie sich im Nachhinein als 
nicht wirksam und damit als ni cht notwendig herausgesteht 
haben. Voraussetzung dafür ist, dass die Evaluierung ehrlich 
und nachvollziehbar vor genommen wird und die Bereit- 
schaft fortbesteht, daraus da nn zu gegebener Zeit auch die 
Konsequenzen zu ziehen. 

Die Folgen des Terrors wirken sich aber nicht nur auf die na- 
tionale Gesetzgebung aus, sie sindintemational, wie der Terror 
selbst (vgl. Nr. 32. T). Die Strategien zur Vermeidung weiterer 
Anschläge und zur Bekämpfung der Täter zielen weltweit auf 
verbesserte Überwachung, grenzüberschreitenden Zugriff von 
Sicherheitsbehörden auf mö glichst umfassende Datenbe- 
stände und einen ungehinderten Datenaustausch ab. Auch hier 
wird es gelten, die datenschutziechtlichen Grundsätze von Er- 
forderlichkeit und Verhältnismäßigkeit strikt zu beachten und 
insbesondere Missbrauchsmöglichkeiten von vornherein zu 
unterbinden. Ohne einen verstä rkten internationalen Daten- 
schutz kann dies kaum gelingen. 

Neben neuen Gesetzesinitiativen sind im Zuge der T errorbe- 
kämpfüng aber auch alte Instrumente wieder aktuell geworden. 
Dies gilt insbesondere für die Rasterfahndung (vgl. Nr . 13.1). 
Auf Landesebene hat sie zu einer Reihe von Prozessen und un- 
terschiedlich lautenden Gerichtsurteilen geführt. Soweit das 
BKA aufgrund eines Beschlusses der Gremien der Ständigen 
Konferenz der Innenminister und -Senatoren der Länder in sei- 
ner Funktion als Zentralstelle der Polizeien des Bundes und der 
Länder beauftragt worden ist, unterstützend tätig zu werden, 
hat meine Prüfung ergeben, dass sich dieses dabei im Rahmen 
der ihm durch das BKA-Gesetz eingeräumten Befugnisse zur 
Erfüllung seiner Zentralstellenaufgabe gemäß § 2 i. V . m. § 7 
BKA-Gesetz gehalten hat, auch soweit es selbst bei diversen 
nicht öffentlichen Stehen um Übermittlung von Personaldaten 
ersucht hat. Ob der Gesetzgeber aber wirklich dem BKA mit 
§ 7 Abs. 2 Satz 2 BKA-Gesetz eine Befugnis zur massenhaften 
Erhebung personenbezogener Daten von Unverdächtigen ein- 
räumen wollte, ist gleichwohl fraglich. Da derartige Maßnah- 
men auf der rechtsstaatlich solideren Grundlage der hierfür 
jeweils geschaffenen landesgesetzlichen Regelungen zur Ras- 
terfahndung durchgeführt werden können, sollte künftig bei 
Fortbestehen der jetzigen Gesetzeslage auf eine massenhafte 
Erhebung personenbezogener Daten durch das BKA verzichtet 
werden. Anderenfalls sollte der Bundesgesetzgeber zumindest 
eine eigenständige Gesetzesgrundlage für das BKA schaf fen. 
Injedem Falle halte ich es für außerordentlich bedenklich, dass 
sich das Verfahren so lange hingezogen hat und erste Daten- 
löschungen erst jetzt im Frühjahr' 2003 vor genommen werden 
sollen. Insgesamt haben die Rasterfahndungen immer noch zu 
keinem abschließenden Ergebnis geführt, was die Frage he- 
rausfordert, wie effizient dieses Instrument tatsächlich für die 
Bekämpfung des Terrors genutzt werden kann. 

1.4 Kommt der gläserne Finanzmarkt? 

Beim Kampf gegen Terrorismus und organisierte Kriminalität 
richtet sich der Blick auch immer wieder auf die Geldströme, 
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die solche T aten erst ermöglichen oder daraus resultieren. 
So hat es im Berichtszeitraum eine Reihe von Initiativen 
und Maßnahmen gegeben, die hier ansetzen. Hierzu zählen 
das Geldwäschebekämpfungsgesetz vom 18. August 2002, 
das u. a. beim Bundeskriminalamt eine „Zentralstelle für 
Verdachtanzeigen“ geschaffen hat (vgl. Nr. 13.7), das Vierte 
Finanzmarktforderungsgesetz vom 21. Juni 2002, das in 
§ 24c des Gesetzes über das Kreditwesen eine Rechtsgrund- 
lage für einen automatisierten Abruf von Kontoinfonnatio- 
nen durch die Bundesanstalt für Finanzdienstleistungsauf- 
sicht eingeführt hat und in § 25a Abs. 1 Nr . 4 des Gesetzes 
über das Kreditwesen eine Regelung zum so genannten 
Konto-Screening enthält (vgl. Nr. 10.2), und die Errichtung 
der Datenbank „ZAUBER“ beim Bundesamt für Finanzen 
zur Auswertung von Umsatzsteuer -Betrugsfällen und zur 
Entwicklung von Risikoprofilen (vgl. Nr. 15.3). Das Aufde- 
cken illegaler Finanzströme, die Bekämpfung von Geldwä- 
sche und Kriminalität sind unbestreitbar von herausragender 
Bedeutung und erfordern angemessene gesetzliche Maßnah- 
men. Die einzelnen Regelungen mögen für sich genommen 
trotz mancher datenschutzrechtlicher Bedenken auch nötig 
oder zumindest sinnvoll sein. Die Summe der neuen Ein- 
griffsmöglichkeiten und neu angelegten Dateien, verbunden 
mit noch weiter reichenden Üb erlegungen für die Zukunft 
können aber zu einer weit gehenden Transparenz des Finanz- 
marktes und des Anlageverhaltens jedes Bürgers führen und 
zu einer Bedrohung für sein Grundrecht auf informationelle 
Selbstbestimmung werden. Dies gilt umso mehr , wenn im 
Zuge der Kriminalitätsbekämpfung auch unbescholtene 
Bürger grundlos in V erdacht geraten, den sie mangels 
Kenntnis hiervon auch nicht ausräumen können oder sich 
für rechtmäßiges Verhalten plötzlich rechtfertigen müssen. 
Auch die Gefahr, dass einmal für ganz bestimmte Zwecke 
angelegte Datenbestände später noch für ganz andere Zwe- 
cke herangezogen werden, erscheint durchaus real. Deswe- 
gen sind die Grundsätze von Erforderlichkeit und V erhält- 
nismäßigkeit strikt zu beachten. 

1.5 Online auf dem Vormarsch 

Ständig verbesserte Möglichkeiten der elektronischen Kom- 
munikation, aber auch der Zugang immer breiterer Bevölke- 
rungskreise zum Internet haben im Berichtszeitraum zu ei- 
ner Reihe von Maßnahmen geführ t, die auch die „amtliche 
Kommunikation“ in diese Entwicklung einbinden sollen. 
Mit dem Gesetz zur Anpass ung der Formvorschriften des 
Privatrechts und anderer V orschriften an den modernen 
Rechtsgeschäftsverkehr vom 13. Juli 2001 wurde grundsätz- 
lich die Möglichkeit eröffnet, elektronische Dokumente bei 
Gerichten einzureichen (vgl. Nr. 8.10.1 ). Dabei ist ein we- 
sentlicher Aspekt des Elektronischen Rechtsverkehrs, auch 
auf diesem Wege auf die Datenbanken der Register gerichte 
zugreifen zu können. Hier gibt es bereits gesetzliche Rege- 
lungen für automatisierte Abru fe aus dem Handelsregister , 
dem Vereinsregister und dem Schuldnerverzeichnis. 

Das Dritte Gesetz zur Änderung verwaltungsverfahrens- 
rechtlicher Vorschriften vom 2 1 . August 2002 hat parallel 
dazu die elektronische Kommunikation zwischen Bür ger 
und Verwaltung ermöglicht (vgl. Nr. 8.10.2). Dies wiederum 
ist Voraussetzung für eGovemmentprojekte (vgl. hierzu 
Nr. 4.7), die auf allen Ebenen zunehmend vorangetrieben 
werden. Die Bundesregierung plant im Rahmen ihrer Ini- 
tiative BundOnline 2005 bis zum Jahre 2005 alle internet- 


fähigen Dienstleistungen der Bundesverwaltung auch über 
das Internet online bereitzustellen. Durch das Programm 
VISA 2000 des Auswärtigen Amtes (vgl. Nr. 6.1) soll nicht 
nur der Verkehr zwischen den beteiligten Dienststellen on- 
line abgewickelt, sondern in Zukunft auch eine elektroni- 
sche Antragstellung ermöglicht werden. Auch im Bereich 
der politischen Wahlen wird geprüft, inwieweit diese elek- 
tronisch unterstützt werden können (vgl. Nr. 7.8.2). 

All diese Überlegungen und neuen technischen Möglichkei- 
ten tragen nicht nur zu einem bequemen, schnellen und effi- 
zienten Geschäfts- bzw. Verwaltungsablauf bei, sie werfen 
auch vielfältige datenschutzrechtliche Probleme auf, und das 
nicht nur in technischer Hinsicht. Wiche Konsequenzen sich 
für den Datenschutz ergeben können, zeigt beispielhaft die 
durch Ergänzung des § 9 der Insolvenzordnung geschaffene 
Möglichkeit, öffentliche Bekanntmachungen in Insolvenz- 
verfahren auch im Internet vorzunehmen (vgl. Nr . 10.7). 
Ohne besondere V orkehrungen könnte durch diese neue 
Form der Veröffentlichung der gebotene Schutz der betroffe- 
nen Schuldner leicht unterlaufen werden. Denn was einmal 
im Internet veröffentlicht war, bleibt zeitlich und örtlich un- 
begrenzt verfügbar, unabhängig von gesetzlichen Lö- 
schungsvorschriften, und kann den Betrof fenen u. U. noch 
nach Jahrzehnten vorgehalten werden. Im konkreten Fall ist 
es zu einer Lösung gekommen, die allerdings nicht vollstän- 
dig befriedigt. Generell zeigt dieses Beispiel aber, dass Inter- 
net und Online-Kommunikation mehr sind als nur eine neue 
Form, Nachrichten zu verbreiten. Damit verbunden ist die 
Möglichkeit, einmal dort veröffentlichte Infonnationen ohne 
besonderen Zeitaufwand und ohne besondere finanzielle 
oder personelle Ressourcen weltweit zusammenführen, aus- 
werten, speichern und weiteigeben zu können, ohne dass dies 
noch in irgendeiner Form kontrollierbar oder reglementier- 
bar wäre. Ich halte deswegen das vielfach zu hörende Argu- 
ment, bestimmte Infonnationen seien auch bisher schon 
veröffentlicht worden und das Internet stelle nur eine zeitge- 
mäße Fonn der Bekanntmachung dar, für falsch. 

Auch die zunehmende Vernetzung der Verwaltungen unter- 
einander und mit dem Bür ger, die Online-Abwicklung von 
Verwaltungsverfahren machen die Verwaltung nicht nur mo- 
derner und effizienter. Vielfach wird übersehen, dass unter 
dem Zeichen von Modernität und Ef fizienz Datenverbünde 
und Informationsflüsse entstehen könnten, deren V erhinde- 
rung ursprüngliches Anliegen des Datenschutzes und Gegen- 
stand des Volkzählungsurteils war. Natürlich steigert es die 
Effizienz und spart Kosten, wenn nicht jede Behörde ihre ei- 
genen Datenbestände anlegen und verwalten muss, sondern 
unproblematisch auf elektronischem Wege anderswo die In- 
formationen abfragen kann, die sie zu benötigen meint. Aber 
genau diese Möglichkeiten ha t das Bundesverfassungsge- 
richt bereits in seinem Grundsatzurteil vom 15. Dezember 
1983 - also vor bald 20 Jahren - sehr anschaulich beschrie- 
ben und sie haben es dazu bewogen, dem das Grundrecht auf 
informationelle Selbstbestimmung entgegenzusetzen. Dies 
gilt auch heute noch, wo die gleichen Fragen unter völlig 
neuen Vorzeichen diskutiert werden. Das heißt natürlich 
nicht, dass eGovernment und V erwaltungsmodemisierung 
nicht stattfinden dürfen - im Gegenteil, es führt kein Wg da- 
ran vorbei -, aber der Datenschutz wird hier künftig über die 
rein technischen Fragen hinaus ganz besonders gefordert 
sein. Und der Büiger wird sich fragen müssen, wie gläsern er 
um seiner Bequemlichkeit willen werden will. 
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1 .6 Reform der Arbeitsverwaltung - Arbeit 
für den Datenschutz 

Die Reform der Arbeitsverwaltung und die \6rbesserung der 
Vermittlung von Arbeitslosen sind Ziele, die uneinge- 
schränkte Unterstützung verdienen. Bei den neuen W egen, 
die hierzu im Berichtszeitraum beschritten worden sind, blei- 
ben Fragen des Datenschutzes ab er vielfach offen. So sieht 
das Gesetz zur Verbesserung der Zusammenarbeit zwischen 
Arbeitsämtern und Trägem der Sozialhilfe vom 20. Novem- 
ber 2000 eine Förderung von Modellprojekten zur Verbesse- 
rung der Zusammenarbeit von Arbeits- und Sozialämtern 
vor, mit denen die Vermittlung arbeitsloser Sozialhilfeemp- 
fänger verbessert werden soll (vgl. Nr. 23.2.1). Der hierfür 
erforderliche Datenaustausch zwischen den Ämtern, die zu 
unterschiedlichen Gebietskörperschaften gehören, mit priva- 
ten Stellen und in die vorgesehene Evaluierung eingebunde- 
nen Forschungsinstituten ist aber nicht hinreichend geregelt 
worden, sodass in der Praxis jetzt viele datenschutzrechtliche 
Fragen noch ungeklärt sind. 

Auch die Umsetzung der Vorschläge der so genannten Hartz- 
Kommission hat zum Teil erhebliche Auswirkungen auf recht- 
liche Regelungen zum Sozialda tenschutz (vgl. Nr. 23.2.2). 
Auch hier geht es u. a. um Datenflüsse zwischen der Arbeits- 
verwaltung und zum Teil privat organisierten Personal-Ser- 
vice-Agenturen, um den Zugang privater Vermittler zu den 
Computersystemen der Arbeitsämter sowie um die Entwick- 
lung einer digitalen Signaturkarte für den Abruf von V er- 
dienst- und Arbeitsbescheinigungen. 

An diesem Beispiel zeigt sich deutlich, wie wichtig es ist, 
datenschutzrechtliche Aspekte von vornherein in alle Über- 
legungen der V erwaltungsmodernisierung, der Privatisie- 
rung bislang staatlicher Aufg abenerfüllung und der Ef fizi- 
enzsteigerung beim Verwaltungshandeln mit einzubeziehen. 
Das Datenschutzrecht bietet genügend Möglichkeiten, um 
zu sinnvollen, datenschutzkonformen Lösungen zu kom- 
men. Probleme entstehen nicht dadurch, dass der Daten- 
schutz Reform- und Modemisierungsprojekte an sich behin- 
dern oder gar vereiteln würde, sondern dadurch, dass 
vielfach geplant und entschieden wird, ohne an Datenschutz 
überhaupt zu denken, und dies, obwohl es um Grundrechts- 
schutz der Bürger geht. 

1.7 Wie elektronisch wird das 
Gesundheitswesen? 

Grundlegende Reformen stehen auch im Gesundheitswe- 
sen an. Um den vielfältigen Problemen und den ständig 
steigenden Kosten zu begegnen, wird auch immer wieder 
der Einsatz elektronischer Mittel propagiert, und dies auf 
unterschiedlichen Ebenen und zu verschiedenen Zwecken. 
So wurde und wird im Rahmen der Gesundheitsreform 
überlegt, einen Datenpool aller Leistungserbringer für 
Steuerungsaufgaben der gesetzlichen Krankenversicherung 
und für gesundheitspolitische Auswertungen zu schaf fen 
(vgl. Nr. 24.1.1). Unter dem Oberbegrif f Telematik im Ge- 
sundheitswesen (vgl. Nr. 28.1) wird die Anwendung von 
Telekommunikation und Informatik verstanden, um die 
medizinische Versorgung zu optimieren, patientenorien- 
tierte Angebote zu verbessern, Wirtschaftspotenziale zu er- 
schließen bzw. Kosten zu senken. Hierunter fallen das 
elektronische Rezept (vgl. Nr. 28.2), die elektronische Ge- 


sundheitskarte (vgl. Nr. 28.3) oder auch die elektronische 
Patientenakte (vgl. Nr. 28.4). 

Die Vielfalt der auch in der Öffentlichkeit diskutierten elek- 
tronischen Möglichkeiten und Anwendungen ist verwirrend 
und der betroffene Bürger verliert den Überblick, was wo 
für wen über seine Gesundheit gespeichert werden soll, wer 
Zugriff auf diese Daten hat, zwischen welchen Stellen wel- 
cher Datenaustausch stattfinden soll, wer was in welcher 
Form auswerten darf und was bei dem allen aus seinem 
Grundrecht auf informationelle Selbstbestimmung und dem 
Schutz hoch sensibler Gesundheitsdaten wird. 

Ich halte es deswegen für entscheidend, dass am Ende der 
Diskussion Lösungen gefunden werden, die für den Patien- 
ten absolut transparent sind und bei denen er Herr seiner 
Daten bleibt. Akzeptanz wird der Einsatz neuer T echniken 
in diesem Bereich nur finden können, wenn der Bürger sein 
Misstrauen verliert und dies nicht als V ersuch begreift, ihn 
zu kontrollieren, sein V erhalten auszuspionieren oder Auf- 
schluss über seinen tatsächlichen Gesundheitszustand zu er- 
langen. Auch hier sind deswegen datenschutzrechtliche 
Überlegungen von vornherein in die Reformvorhaben als 
integraler Bestandteil mit einzubeziehen. 

1.8 Reformüberlegungen auch bei 
elektronischen Medien 

Während es im Datenschutz bei Telediensten vornehmlich 
darum geht, die Anwendung des T eledienstedatenschutzge- 
setzes voranzubringen und diesem Gesetz flächendeckend 
Respekt und Beachtung zu verschaf fen (vgl. Nr. 11.2.2), 
bahnt sich für die elektronischen Medien die nächste Geset- 
zesänderung an. Nach den Reformüberlegungen des zustän- 
digen Ministeriums für W irtschaft und Arbeit, die auf eine 
Entschließung des Deutschen Bundestages zurückgehen, 
sollen zum einen die Bereiche T eledienste, Mediendienste 
und Rundfunk in einem Gesetz zusammengeführt und so 
auch das entsprechende Datenschutzrecht vereinfacht wer- 
den, zum anderen soll die bestehende Datenschutzaufsicht 
in diesem Bereich durch fr eiwillige und eigenverantwortli- 
che Selbstregulierung der Me dienwirtschaft ergänzt und 
entlastet werden (vgl. Nr. 11.2.1). Dieses Vorhaben, dessen 
nähere Ausgestaltung noch offen ist, passt sich gut in die ge- 
nerellen Überlegungen zur Reform des Datenschutzrechts 
an, bei denen es auch um V ereinfachung des Regelungs- 
dickichts, Reduktion der spez ialgesetzlichen Vorschriften 
und um Ausbau von Selbstregulierung und Selbstkontrolle 
geht. Wenn auf diesem W eg das Datenschutzrecht über- 
schaubarer, praktikabler wird und seine Einhaltung besser 
kontrolliert werden kann, verdienen entsprechende Reform- 
bemühungen Unterstützung. 

1 .9 Genomanalyse - was ist zulässig? 

Es gibt wohl keine personenbezogeneren Daten als das 
menschliche Genom. Durch de n technisch/medizinischen 
Fortschritt in der molekular genetischen Forschung und die 
daraus sich ergebende Möglichkeit von DNA-Analysen er- 
öffnen sich ungeahnte Möglichkeiten, im Guten wie im 
Schlechten. 

Im Bereich des Strafverfahrens gibt es zur Nutzung der 
DNA- Analyse bereits einschlägige Normen, die die Fest- 
stellung, Speicherung und V erwendung von DNA-ldentifi- 
kationsmustem regeln (vgl. Nr. 8.2.3), aber noch immer sind 
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hierzu nicht alle Fragen gekl ärt. Zwar ist durch das Gesetz 
zur Änderung der Strafprozessordnung vom 6. August 2002 
in § 81e StPO jetzt klaigestellt worden, dass auch die Unter- 
suchung von Spurenmaterial einer unbekannten Person nur 
durch den Richter angeordnet werden darf (vgl. Nr. 8.2.3. 1). 
Eine entsprechende Klarstellung, dass auch DNA-Analysen 
für Zwecke künftiger Strafverfahren nach § 81g StPO und 
§ 2 DNA-ldentitätsfeststellungsgesetz ausschließlich auf- 
grund richterlicher Anordnung durchgeführt werden dürfen, 
fehlt aber nach wie vor (vgl. Nr. 8. 2. 3. 3). Auch eine gesetz- 
liche Regelung für die Durchführung von DNA-Massentests 
halte ich für erforderlich (vgl. Nr . 8. 2. 3. 2). Skeptisch beur- 
teile ich hingegen Überlegungen, den Straftatenkatalog des 
§ 81g Abs. 1 StPO auszuweiten (vgl. 8. 2. 3. 4) oder sogar 
vorsorglich von allen Bür gern oder allen Männern DNA- 
Identifizierungsmuster zu erheben und in eine DNA-Ana- 
lyse-Datei einzustehen, was meines Erachtens eindeutig ge- 
gen das Grundgesetz verstieße (vgl. Nr. 13.3). 

Ich sehe die Gefahr, dass der scheinbar objektive und unan- 
fechtbare Beweiswert von Genanalysen neue Missbrauchs- 
möglichkeiten schaffen kann; das reicht vom Austausch 
oder der Manipulation von Genproben bis hin zum Legen 
falscher genetischer Spuren. 

Aber der Einsatz von Genomanalysen beschränkt sich schon 
lange nicht mehr auf die V erbrechensbekämpfüng und die 
Überführung von Straftätern. Ob es um die Feststellung von 
Kindschaftsverhältnissen geht, um den Abschluss von Le- 
bens- oder Krankenversicherungsverträgen, um Einstellun- 
gen oder Kündigungen im Arbeitsleben, überall ist die Nut- 
zung von Gentests denkbar oder wird sogar bereits 
praktiziert. Anders als im Strafverfahren fehlen hier aber 
spezielle rechtliche Regelungen und das allgemeine Daten- 
schutzrecht reicht vielfach nicht aus, um Missbrauch entge- 
genzutreten, fairen Interessenausgleich zu gewährleisten 
und diesen Kembereich der Persönlichkeit eines jeden Men- 
schen wirkungsvoll zu schützen (vgl. Nr. 28.5). 

Dies kann zu fatalen Konsequenzen führen, wenn nicht bald 
Rechtssicherheit geschaffen wird, was zulässig ist und was 
nicht. Zentrales Anliegen dabei ist, ein gegen jedermann ge- 
richtetes, ausdrückliches und strafbewehrtes V erbot zu 
schaffen, ohne besondere Befugnis die Analyse des Genoms 
eines anderen durchzuführen oder durchführen zu lassen 
oder Ergebnisse einer entsprechenden Analyse zu verarbei- 
ten oder zu nutzen. 

Meiner Forderung nach einer entsprechenden umfassenden 
gesetzlichen Regelung wurde bislang nicht entsprochen, 
wenn ihre Berechtigung auch - soweit ersichtlich - allge- 
mein anerkannt wird. Es ist sicher wichtig und richtig, ein 
solches Vorhaben gründlich vorzubereiten, zu diskutieren 
und wegen der länderübergreifenden Auswirkungen auch in 
den europäischen Kontext einzustellen. Dies darf aber nicht 
dazu führen, dass eine Regelung unvertretbar lange auf sich 
warten lässt und in der Zwischenzeit gesellschaftspolitische 
Fakten geschaffen werden, wie sich dies bei der heimlichen 
Überprüfung von Vaterschaften schon anbahnt. 

1.10 Der Bürger wird geortet 

Der technologische Fortschritt eröffnet immer neue Mög- 
lichkeiten, an die früher nicht zu denken war . Meist werden 
die Vorteile herausgestellt, die für den Einzelnen damit ver- 
bunden sind, die oft negative Kehrseite wird vielfach ver- 


schwiegen oder zumindest herunter gespielt. So werden zu- 
nehmend Systeme entwickelt , die es in technisch 
unterschiedlicher Weise und zu unterschiedlichen Zwecken 
erlauben, den genauen Aufenthalt eines Menschen festzu- 
stellen. Vielfach geschieht dies über das Handy , das heute 
weit verbreitet ist. So wurden im Berichtszeitraum in § 9 
Abs. 4 Bundesverfassungsschutzgesetz und § lOOi Strafpro- 
zessordnung die rechtlichen Grundlagen für den Einsatz des 
so genannten IMSI-Catchers geschaffen (vgl. Nr. 8.2.4), mit 
dessen Hilfe eine bestimmte Person über ihr Mobiltelefon 
geortet werden kann, aber auch eine V ielzahl weiterer Bür- 
ger, die sich zufällig in der Nähe aufhalten. Ortungsmög- 
lichkeiten bieten inzwischen auch zusätzliche Funktionen 
im Handy und bestimmte Dienste in den Mobilfunknetzen 
(vgl. Nr. 11.10.4), die es erlauben, den genauen Standort des 
Handys und damit auch seines Inhabers zu bestimmen. Mit 
anderer Technik und zu anderen Zwecken erfolgt eine Or- 
tung künftig auch im Zusammenhang mit der Mauterhebung 
für LKW auf deutschen Autobahnen (vgl. Nr. 29.1), die na- 
türlich nicht nur Standort und Fahrtroute der LKW erfasst, 
sondern auch von deren Fahrern. W eitere Ortungsmöglich- 
keiten von Personen sind in der Entwicklung oder kommen 
sogar schon zum Einsatz. 

All diesen Möglichkeiten und Systemen ist gemeinsam, 
dass sich gegen ihren Einsatz im Einzelfall, soweit er auf 
gesetzlicher Grundlage und unter Beachtung der daten- 
schutzrechtlichen Bestimmungen erfolgt, grundsätzlich 
nichts sagen lässt: Es ist legitim, die neuen technischen Ent- 
wicklungen zu nutzen, um T erroristen zu bekämpfen oder 
Straftäter zu verfolgen, um Gefahren von Kindern abzuweh- 
ren, Menschen in Not aufzuspüren oder auch nur die Arbeit 
von Außendienstmitarbeitem zu optimieren oder verlorene 
Handys wiederzufinden. Zugleich werden aber technische 
Kontrollsysteme und eine Überwachungsstruktur aufgebaut, 
die, einmal vorhanden, auch noch zu ganz anderen Zwecken 
genutzt werden könnten und deren gesetzes- und daten- 
schutzkonforme Anwendung letztlich nicht mehr kontrol- 
lierbar ist. Soft- und Hardware, die das Aufspüren von Men- 
schen mit deren Einverständnis und zu ihrem Schutz 
erlauben, lassen sich technisch in gleicher W eise auch ohne 
das Einverständnis und zum Nachteil des Betrof fenen ein- 
setzen, und zwar auch dann, wenn dieser sich nichts hat zu 
schulden kommen lassen. Häufige Ortungen der gleichen 
Person erlauben darüber hinaus auch die Erstellung von Be- 
wegungsprofilen. Auch hier ze igt sich wieder , dass die 
Summe von nützlichen und für sich gesehen datenschutz- 
konformen Anwendungen insgesamt ein Bedrohungspoten- 
zial für das Grundrecht auf informationelle Selbstbestim- 
mung darstellt, das von den Betrof fenen und auch in der 
gesellschaftspolitischen Diskussion so zunächst nicht wahr- 
genommen wird. Umso wichtiger ist es, sich rechtzeitig Ge- 
danken darüber zu machen, welche technischen und recht- 
lichen Voraussetzungen geschaffen werden müssen, um den 
Nutzen der neuen technologischen Möglichkeiten zu be- 
wahren und die Bedrohung für das Persönlichkeitsrecht des 
Bürgers so gering wie möglich zu halten. 

1.11 Biometrie - der Bürger wird vermessen 

Nicht zuletzt aufgrund gestiegener Sicherheitsanforderungen 
und des Wunsches nach absolut täuschungs- oder fälschungs- 
sicherer Identifikation bzw . Verifikation von Personen rü- 
cken biometrische Verfahren immer mehr in den Blickpunkt 
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(vgl. Nr. 4.2). Nachdem es bi slang wegen mangelnder tech- 
nischer Einsatzreife entsprechender Verfahren mehr um the- 
oretische Überlegungen ging, ist die T echnik nun weiter 
ausgereift und es kommt zu ersten Modellversuchen und ge- 
setzgeberischen Initiativen wie in § 4 Abs. 3 und 4 des Pass- 
gesetzes und in § 1 Abs. 4 und 5 des Gesetzes über Personal- 
ausweise. Weitere Einsatzmöglichkeiten in fast allen 
Lebensbereichen werden mehr oder weniger konkret disku- 
tiert und es entsteht mitunter der Eindruck, biometrische Ver- 
fahren seien die sicherheitstechnische Lösung der Zukunft 
überall dort, wo die Identität einer Person zweifelsfrei festge- 
stellt oder eine Person verifizier t werden soll. Es ist nicht 
meine Aufgabe zu beurteilen, ob die Biometrie das halten 
kann, was sich manch einer von ihr verspricht. Datenschutz- 
rechtlich ist gegen den Einsatz entsprechender V erfahren 
grundsätzlich auch nichts einzuwenden, solange die Grund- 
prinzipien des Datenschutzes wie Datensparsamkeit, Daten- 
sicherheit, Transparenz, strikte Zweckbindung, Erforderlich- 
keit und V erhältnismäßigkeit, um nur die wichtigsten zu 
nennen, beachtet werden. Auch darf es zu keinen zentralen 
Referenzdateien kommen, mit denen an verschiedenen Stel- 
len und zu verschiedenen Zwecken erhobene biometrische 
Daten abgeglichen werden. Eine solche Entwicklung würde 
den Weg frei machen zu umfassender Profilbildung und 
Überwachung jeden einzelnen Bürgers und eine Vielzahl von 
Missbrauchsmöglichkeiten eröffnen. Um den fortschreiten- 
den Einsatz biometrischer Verfahren in geregelte und grund- 
rechtskonforme Bahnen zu lenken, wird zu prüfen sein, ob es 
hierfür spezieller datenschutzrechtlicher Nonnen bedarf. 

1.12 Streit um Stasi-Unterlagen vorerst 
beendet 

Der rechtspolitische Streit um die Herausgabe von Stasi- 
Abhörprotokollen prominenter Zeitgenossen hat sowohl die 
Öffentlichkeit als auch die Justiz über Jahre beschäftigt (vgl. 
Nr. 7.6.1), wobei zum T eil aus dem Blick geriet, worum es 
jenseits des konkreten Einzelfa 11s geht, nämlich um einen 
wirksamen Opferschutz und die Frage, ob rechtswidrig un- 
ter Verletzung elementarer Grundrechte erlangte Infonna- 
tionen über Personen gegen de ren Willen weitergegeben 
und veröffentlicht werden dürfen, wenn es sich hierbei um 
Personen der Zeitgeschichte handelt. Meine in dieser Aus- 
einandersetzung von Anfang an vertretene Rechtsauffas- 
sung ist im März 2002 vom Bundesverwaltungsgericht in 
letzter Instanz in vollem Umfang bestätigt worden. 

Damit war die Angelegenheit ab er noch nicht beendet. Da 
sich die Bundesbeauftragte für die Unterlagen des Staatssi- 
cherheitsdienstes der ehemaligen DDR durch das Urteil ge- 
hindert sah, ihren Aufgaben hinsichtlich der historischen, 
politischen und juristischen Aufarbeitung der Tätigkeit des 
Staatssicherheitsdienstes bezogen auf Personen der Zeitge- 
schichte, Inhaber politischer Funktionen und Amtsträger im 
bisherigen Umfang nachzukommen, wurde eine Änderung 
des Stasi-Unterlagen-Gesetzes eingeleitet. Nach der ur- 
sprünglichen Fassung des entsprechenden Gesetzentwurfs 
wären die Wirkungen des Urteils des Bundesverwaltungsge- 
richts weitgehend aufgehoben und der Schutz prominenter 
Opfer des Staatssicherheitsdienstes der ehemaligen DDR er- 
heblich eingeschränkt worden. Auch Informationen, die un- 
ter Verletzung des Brief-, Post- und Fernmeldegeheimnisses 
oder unter V erstoß gegen die Unverletzlichkeit der W oh- 
nung gewonnen worden waren, hätten nach entsprechender 


Interessenabwägung durch die Bundesbeauftragte gegen 
den Willen der Betroffenen veröffentlicht werden können. 

Im Laufe des Gesetzgebungsverfahrens ist es gelungen, ei- 
nen verbesserten Opferschutz zu erreichen, auch wenn die 
Abwägungsklausel letztlich gebl ieben ist. Ich halte deswe- 
gen das Fünfte Gesetz zur Änderung des Stasi-Unterlagen- 
Gesetzes in der vom Deutsc hen Bundestag beschlossenen 
Fassung für vertretbar, wenn es verantwortungsbewusst im 
Interesse der Opfer angewandt wird, woran zu zweifeln ich 
keinen Anlass habe. 

Wenn auch die Auseinandersetzung um die Herausgabe von 
Stasi-Unterlagen Prominenter mit der Entscheidung des 
Bundesverwaltungsgerichts und der Änderung des Stasi- 
Unterlagen-Gesetzes zunächst beendet ist, so ist die dahinter 
stehende Grundsatzproblematik, welche Beeinträchtigung 
ihrer Grundrechte im öf fentlichen Leben stehende Persön- 
lichkeiten hinnehmen müssen und wie weit insbesondere ihr 
allgemeines Persönlichkeitsrecht und ihr Recht auf informa- 
tionelle Selbstbestimmung eingeschränkt ist, trotz einer 
Vielzahl von Urteilen zu Einzelfällen noch nicht abschlie- 
ßend geklärt. 

1.13 Müssen Krankenkassen alles sehen? 

Im Berichtszeitraum ist meine Rechtsauf fassung auch noch 
in einem anderen Fall durch höchstrichterliche Entschei- 
dung bestätigt worden: Das Bundessozialgericht hat im Juli 
2002 festgestellt, dass die Krankenkassen nicht aus eigenem 
Recht Einsicht in Behandlungsunterlagen ihrer Versicherten 
verlangen können, sondern insoweit auf ein Tätigwerden 
des Medizinischen Dienstes der Krankenkassen angewiesen 
sind (vgl. Nr. 24.1.4). Dies kann auch nicht durch das Ein- 
holen entsprechender Einwil ligungserklärungen der V ersi- 
cherten zur Übermittlung von Behandlungsunterlagen um- 
gangen werden. Diesem Urteil messe ich große Bedeutung 
bei, die über den entschiedenen Fall hinausreicht. Es stellt 
sich die gleiche Problematik bei der Frage, ob die Pflege- 
kassen Einsicht in die Pflegedokumentation Pflegebedürfti- 
ger nehmen dürfen (vgl. Nr. 24.2.2). Auch hier vertrete ich 
die Auffassung, dass zwischen Abrechnungsunterlagen und 
der Pflegedokumentation, die unter anderem hochsensible 
Anamnese- und Diagnosedaten enthält, unterschieden wer- 
den muss und dass letztere nur an den Medizinischen Dienst 
der Krankenkassen übermittelt werden darf. 

Bei den privaten Krankenversicherem ist die Situation nicht 
die gleiche, aber auch hier besteht Einigkeit, dass sensible 
Unterlagen wie etwa OP-Protokolle bei den Krankenhäu- 
sern nicht pauschal unter Hinweis auf eine generelle Einwil- 
ligung und Schweigepflichtentbindung des Versicherten an- 
gefordert werden dürfen, sondern nur , wenn dies im 
Einzelfall zur Feststellung der Leistungspflicht erforderlich 
ist (vgl. Nr. 28.7.2). 

Zur Beurteilung der Le istungspflicht im Einzelfall erheben 
die privaten Krankenversicherungen der ärztlichen Schweige- 
pflicht unterliegende Gesundheitsdaten bei Ärzten, Kranken- 
häusern sowie auch bei Renten versicherungsträgem, soweit 
es beispielsweise um die Fe ststellung der Voraussetzungen 
für die Zahlung einer Berufsunf ähigkeitsrente geht. Dabei 
wird auf eine allgemein gehaltene, in pauschaler Form ab- 
gegebene Schweigepflichtentbindungserklärung zurückge- 
griffen, die die V ersicherten bei dem oftmals Jahre zu- 
rückliegenden Vertragsabschluss abgegeben haben. Meiner 
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Auffassung nach sind solche pauschalen und lange zurück- 
liegenden Erklärungen keine hinreichende Grundlage für 
die Übermittlung von Gesundheitsdaten durch die meiner 
Aufsicht unterstehenden Rentenversicherungsträger . Auch 
Eingaben aus dem Bereich der privaten Krankenversiche- 
rung belegen, dass V ersicherte sich zum T eil an die lange 
zurückliegenden Erklärungen zur Schweigepflichtentbin- 
dung gar nicht mehr erinnern, ln einer gemeinsamen Ar- 
beitsgruppe von Vertretern der Datenschutzaufsichtsbehör- 
den und der Versicherungswirtschaft, an der auch ich mich 
beteilige, soll daher eine Üb erarbeitung des bisherigen Ver- 
fahrens angestrebt werden. Ziel ist, hier zu mehr T ranspa- 
renz und einer Stärkung der Patientenrechte zu kommen. 

1.14 Ausblick 

Das Datenschutzrecht ist nicht statisch, sondern ständig im 
Fluss. Durch den technologisc hen Fortschritt sowie politi- 
sche, wirtschaftliche und gesellschaftliche V eränderungen 
ergeben sich ständig neue Themen und Problemfelder , für 
die es eine adäquate datensc hutzrechtliche Antwort zu fin- 
den gilt. Dabei geht es im Kern immer darum, das vom 
Grundgesetz geschützte Persönlichkeitsrecht und das Recht 
auf informationelle Selbstbestimmung jeden Bürgers in im- 
mer wieder verändertem Umfeld und gegen ständig neue 
Herausforderungen zu verteidigen und zu sichern, ln mei- 
nem kurzen Überblick habe ich versucht, einige der Themen 
zu skizzieren, die im Berichtszeitraum die datenschutzrecht - 
liche Diskussion bestimmt haben. Einige der Probleme sind 
mehr oder weniger zufriedenstellend gelöst, bei anderen be- 
findet sich die Lösung zumindest in Arbeit, als Teil der stän- 
digen Fortschreibung des Datenschutzrechts in Deutsch- 
land. Der rein nationale Rahmen ist aber vielfach schon zu 
eng. Fortschreitende Globalisierung und im wahrsten Sinne 
des Wortes grenzenloser Datenfluss machen eine Einbin- 
dung dieses Rechts in einen gesamteuropäischen Rahmen 
oder darüber hinaus sogar internationale V ereinbarungen 
immer wichtiger. Das beste Datenschutzrecht bleibt wir- 
kungslos, wenn es vom Ausland aus problemlos umgangen 
werden kann und selbst schwere V erstöße gegen daten- 
schutzrechtliche Bestimmungen sanktionslos bleiben, weil 
die verantwortliche Stelle unerreichbar im ferneren Ausland 
ihren Sitz hat. 

An dieser Stelle möchte ich den Blick aber auch auf einige 
Themen lenken, die zurzeit noch nicht im Zentrum der aktu- 
ellen Datenschutzdiskussion stehen, aber in Zukunft durch- 
aus Brisanz entfalten könnten: 

Weiter oben (Nr. 1.2) habe ich bereits daraufhingewiesen, 
dass die korrekte Umsetz ung und Beachtung datenschutz- 
rechtlicher Bestimmungen noch lange nicht überall gewähr- 
leistet ist. Die Datenschutzaufsichtsbehörden können in der 
Regel nur Eingaben und Beschwerden nachgehen oder al- 
lenfalls stichprobenartig anlassunabhängige Kontrollen 
durchführen. Das Risiko bei der Missachtung geltenden Da- 
tenschutzrechts ist deswegen insbesondere im nicht öf fent- 
lichen Bereich immer noch relativ gering und der Bürger re- 
agiert mit Unverständnis und Hilflosigkeit, wenn er den 
Eindruck gewinnen muss, der Schutz seines Grundrechts 
auf informationeile Selbst bestimmung bestehe häufig nur 
auf dem Papier. Ich halte deswegen Überlegungen, wie der 
Gesetzesvollzug weiter verbessert werden kann, für erfor- 
derlich. Auch die Struktur der Datenschutzaufsicht in 
Deutschland ist für Außenste hende schwer durchschaubar, 


wie ich anhand vieler fehlgeleiteter schriftlicher oder münd- 
licher Anfragen und Beschwerden immer wieder feststellen 
muss. Lässt sich die unterschiedliche Kontrollzuständigkeit 
für Bundes- und Landes- bzw . Kommunalbehörden schon 
allein aufgrund der unterschiedlichen Rechtsgrundlagen 
noch gut vermitteln, so erschließt sich die Zuständigkeit der 
verschiedenen Aufsichtsbehörden der Länder für Beratung 
und Kontrolle des nicht öf fentlichen Bereichs trotz einheit- 
licher Rechtsgrundlage im Bundesdatenschutzgesetz vielen 
Bürgern nicht, ln Kreisen der W irtschaft werden mitunter 
die schwierigen und vor allem zeitaufwendigen Abstim- 
mungsverfahren beklagt, wenn es um datenschutzrechtliche 
Fragen und Gesetzesauslegungen geht, die bundeseinheit- 
lich geklärt sein müssen oder sogar international Auswir- 
kungen haben. Es wäre im Zuge der Neuordnung des Daten- 
schutzrechts zu erwägen, für international oder bundesweit 
operierende Großunternehmen und V erbände eine zentrale 
Aufsichtsstelle zu schaffen, mit der Datenschutzfragen ver- 
bindlich und schnell geklärt werden können. Dies würde 
nach meiner Überzeugung die Belange des Datenschutzes 
im nicht öffentlichen Bereich fördern. 

Anlass zu Sorge geben auch die ständig anwachsenden Da- 
tenbestände und ihre vielfältigen V erknüpfüngsmöglichkei- 
ten, und zwar sowohl im öffentlichen wie auch im nicht öf- 
fentlichen Bereich. Es scheint mir deswegen angebracht zu 
sein, noch einmal die Worte des Bundesverfassungsgerichts 
in Erinnerung zu rufen, mit denen es das Grundrecht auf in- 
formationeile Selbstbestimmung begründet hat. Dort heißt 
es zur Befugnis des Einzelne n, grundsätzlich selbst zu ent- 
scheiden, wann und innerhalb welcher Grenzen persönliche 
Lebenssachverhalte offenbart werden: 

„Diese Befugnis bedarf unter den heutigen und künftigen Be- 
dingungen der automatischen Datenverarbeitung in besonde- 
rem Maße des Schutzes. Sie ist vor allem deshalb gefährdet, 
weil bei Entscheidungsprozessen nicht mehr wie früher auf 
manuell zusammengetragene Karteien und Akten zurückge- 
griffen werden muss, vielmehr heute mit Hilfe der automati- 
schen Datenverarbeitung Einzelangaben über persönliche 
oder sachliche Verhältnisse einer bestimmten oder bestimm- 
baren Person (personenbezogene Daten [vgl. § 2 Abs. 1 
BDSG]) technisch gesehen unbegrenzt speicherbar und je- 
derzeit ohne Rücksicht auf Entfernungen in Sekunden- 
schnelle abrufbar sind. Sie können darüber hinaus - vor allem 
beim Aufbau integrierter Informationssysteme - mit anderen 
Datensammlungen zu einem teilweise oder weitgehend voll- 
ständigen Persönlichkeitsbild zusammengefügt werden, ohne 
daß der Betroffene dessen Richtigkeit und V erwendung zu- 
reichend kontrollieren kann. Damit haben sich in einer bisher 
unbekannten Weise die Möglichkeiten einer Einsichts- und 
Einflußnahme erweitert, welche auf das V erhalten des Ein- 
zelnen schon durch den psychi sehen Druck öffentlicher An- 
teilnahme einzuwirken vermögen. Individuelle Selbstbestim- 
mung setzt aber - auch unter den Bedingungen moderner 
Informationsverarbeitungstechnologien - voraus, daß dem 
Einzelnen Entscheidungsfreiheit über vorzunehmende oder 
zu unterlassende Handlungen einschließlich der Möglichkeit 
gegeben ist, sich auch entsprechend dieser Entscheidung tat- 
sächlich zu verhalten“ (BV erfG, Urteil vom 15. Dezember 
1983 -lBvR 209/83 u. a.). 

Genau diese Entwicklung tritt heute aber ein, wenn hierfür 
vielfach auch Gesichtspunkte der Kostensenkung, der Mo- 
dernität und Ef fizienz ins Feld geführt werden. Dadurch 
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können erhebliche Datenmissbrauchspotenziale entstehen, 
deren Kontrolle aufgrund fehlender T ransparenz immer 
schwieriger wird. 

Dabei geht gerade auch in der Privatwirtschaft der Trend zu 
immer umfangreicheren Datensammlungen und Datenver- 
bänden. So wird das Netz von allen möglichen Wamdateien 
immer dichter. Neben zahlreichen Kreditauskunftssystemen 
entwickelt jetzt die W ohnungswirtschaft eigene W amda- 
teien (vgl. Nr. 10.8), so auch eine bei der SCHUFA (vgl. Nr. 
10.5.1), und auch die V ersicherungswirtschaft verfügt über 
ein zentrales Hinweissystem. Dabei besteht ein legitimes In- 
teresse der Wirtschaft, sich vor Betrügern, schwarzen Scha- 
fen und zahlungsunfähigen oder -unwilligen Kunden zu 
schützen und die einzelne Datei oder das einzelne Aus- 
kunftssystem ist im Regelfall datenschutzrechtlich nicht zu 
beanstanden. Gefahren sehe ich dort, wo die einzelnen Sys- 
teme zusammengeschaltet werden können oder einzelne In- 
stitutionen aus allen Systemen Infonnationen abrufen und 
so den einzelnen Kunden für sich gläsern machen können. 
Es darf nicht dazu kommen, dass z. B. ein junger Mensch, 
der mit zwanzig seine Handyrechnung nicht bezahlen 
konnte, anschließend kein Konto mehr eröffnen kann, keine 
Wohnung findet, keine V ersicherung abschließen kann und 
sozusagen auf Dauer zur elektronischen Unperson wird. So 
weit sind wir zum Glück noch nicht, aber die sich abzeich- 
nende Entwicklung könnte eine solche Richtung nehmen, 
wobei alle möglichen privat or ganisierten „schwarzen Lis- 
ten“ im Internet noch ein zusätzliches Problem darstellen. 
Noch viel schlimmer sind solche Entwicklungen, wenn der 
einzelne Bürger auch noch ohne eigenes Fehlverhalten in 
das elektronische W arnsystem gerät, sei es aufgrund einer 
Verwechselung oder durch nachlässiges oder nicht vertrags- 
konformes Meldeverhalten der einzelnen Teilnehmer sol- 
cher Systeme. Hierfür gibt es leider immer wieder Bei- 
spiele, die bis an den Rand der Existenzvemichtung gehen 
können. Hier sind Regelungen, die es in einer solchen Situa- 
tion nicht allein dem einzelnen Betroffenen überlassen, den 
Kampf mit der Hydra der elektronischen W arnsysteme auf- 
zunehmen, dringend geboten, etwa in Form eines „Folgen- 
beseitigungsanspruchs“, der bei W eitergabe unrichtiger In- 
fonnationen oder bei rechtswidrigen Übermittlungen der 
verantwortlichen Stelle aufgibt, daraus resultierende Folgen 
für den Betroffenen selbst zu beseitigen, und zwar nicht nur 
im eigenen System, sondern auch überall dort, wo sich 
durch Fortpflanzung des Fehlers für den Betrof fenen nach- 
teilige Auswirkungen ergeben. Zahlreiche Eingaben bei mir 
belegen, dass dies kein nur th eoretisches Problem ist, das 
nicht juristisch geschulte Bürger vielfach überfordert. 

Auch im Bereich von W erbung, Markt- und Meinungsfor- 
schung werden mit immer neuen Ideen immer mehr Kun- 
dendaten zusammengetragen und ausgewertet, um zu immer 
ausgefeilteren Kundenprofilen zu kommen. Dabei halte ich 
Profilbildungen hier wie auch in anderen Bereichen generell 
für fragwürdig. Das Zusammenstellen von personenbezoge- 
nen Daten eines bestimmten Menschen, das sein V erhalten 
ganz oder teilweise abbildet und ihn dadurch für Dritte bere- 
chen- und verfügbar macht, ist schon dann problematisch, 
wenn dies mit seinem W issen geschieht, weil er im Zwei- 
felsfall die weit reichenden Konsequenzen nicht abschätzen 
kann. Erfolgt dies aber hinter seinem Rücken und noch dazu 
mittels heimlicher Datenerh ebungen oder -Übermittlungen, 
hegt ein schwerer Verstoß gegen das informationelle Selbst- 


bestimmungsrecht vor. Leider bieten die technologische 
Entwicklung und der rasant wachsende Bestand von perso- 
nenbezogenen Daten auf alle n Gebieten immer bessere 
Möglichkeiten, zu ausgefeilt en Profilbildungen zu gelan- 
gen. Auch hier könnte in Zukunft der Gesetzgeber gefordert 
sein. 

1.15 Hinweise für die Ausschüsse des 

Deutschen Bundestages, Beratungen 
und Kontrollen, Beanstandungen 

Auch diesmal habe ich in der Anlage 1 zusammengefasst, 
welche Kapitel und Abschnitte dieses Berichts für welchen 
Ausschuss des Deutschen Bundestages von besonderem In- 
teresse sein könnten. 

Anlage 2 gibt einen Überblick über die von mir und meinen 
Mitarbeitern durchgeführten Kontrollen, Beratungen und 
Informationsbesuche. Diese Tätigkeit ist ein Kernbereich 
meiner Arbeit. Die Kenntnisse und Einblicke, die ich bei 
Prüfungen und Gesprächen vor Ort in den meiner Zustän- 
digkeit unterfallenden öffentlichen Stehen des Bundes, T e- 
lekommunikations- und Postdi enstleistungsuntemehmen 
und privaten Unternehmen, die unter das Sicherheitsüber- 
prüfüngsgesetz fallen, gewinne, sind wichtig und wertvoll 
für meine Beratung des Deutschen Bundestages und der 
Bundesregierung. Sie stellen eine V erbindung dar zu den 
Bedürfnissen und Problemen in der Praxis und helfen umge- 
kehrt, die Intentionen der datenschutzrechtlichen V orschrif- 
ten zu verdeutlichen und ihre volle Anwendung zu verbes- 
sern. 

Allerdings muss ich dabei mitunter auch Verstöße gegen die 
Vorschriften des Bundesdatenschutzgesetzes oder andere 
datenschutzrechtliche Bestimmungen wie das T elekommu- 
nikationsgesetz oder Postgesetz feststellen oder sonstige 
Mängel bei der V erarbeitung oder Nutzung personenbezo- 
gener Daten, die ich nach § 25 BDSG förmlich zu beanstan- 
den habe. Von einer Beanstandung kann ich absehen, wenn 
die Verstöße oder Mängel von geringer Bedeutung sind oder 
sofort beseitigt werden. Eine Übersicht über die ausgespro- 
chenen Beanstandungen enthält Anlage 3. Dabei ist bemer- 
kenswert, dass die Zahl der Beanstandungen im Berichts- 
zeitraum im Vergleich zu meinem letzten Tätigkeitsbericht 
deutlich angestiegen ist. 

2 Der 11. September 2001 und seine 

datenschutzrechtlichen Auswirkungen - 
Zäsur auch für den Datenschutz 

2.1 Öffentliche Sicherheit und Datenschutz - 
gestörte Balance? 

Der 11. September 2001 erschütterte das Sicherheitsempfin- 
den vor allem der westlichen W eit nachhaltig. Die An- 
schläge auf Djerba und Bah im ver gangenen Jahr zeigten 
zudem deutlich, dass der internationale T errorismus seinen 
Feldzug fortsetzt. 

Die sofort nach den beispiellosen T errorakten in New York 
und Washington einsetzende Diskussion um präventiv wirk- 
same Antiterrormaßnahmen verdeutlichte klar das intensive 
Spannungsverhältnis zwischen den Sicherheitsinteressen 
des Staates und den durch staa tliche Eingriffsbefügnisse 
zwangsläufig betroffenen Freiheitsrechten der Bürgerinnen 
und Bürger. Staatliches Handeln als Antwort auf die - nach 
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wie vor - akute Bedrohungslage war unabweisbar; neue Be- 
fugnisse der Sicherheitsbehörden schienen zwingend gebo- 
ten. Es stellte sich aber die Frage nach dem Verhältnis zum 
Grundrecht auf informationell e Selbstbestimmung mit der 
auch politisch gebotenen Prämisse, sich von T erroristen 
nicht den Abbau von Bürgerrechten aufzwingen zu lassen. 

Bei der Fülle geplanter neuer Maßnahmen zur Terrorismus- 
bekämpfung verbunden mit Befugnissen der Sicherheitsbe- 
hörden, die tiefe Eingrif fe in das Persönlichkeitsrecht auch 
unbescholtener und unbeteiligter Bürger bedingen, ging es 
aus der Sicht des Datenschutzes vor allem darum, die Ba- 
lance zwischen dem nachvollziehbaren Sicherheitsinteresse 
des Staates für seine Bür ger und den schutzwürdigen Frei- 
heitsrechten des Einzelnen zu halten, zumindest deren Kem- 
bereich zu wahren. 

ln der politischen Diskussion unmittelbar nach den Anschlä- 
gen gab es deutliche Aussagen, den „Datenschutz tiefer zu 
hängen“, verbunden mit der Aufforderung, angebliche Hür- 
den des Datenschutzes in Richtung auf eine ef fiziente Anti- 
terrorgesetzgebung nicht mehr oder nur noch beschränkt zu 
dulden. Dagegen wandten sich die Datenschutzbeauftragten 
des Bundes und der Länder bereits mit der Entschließung 
vom 1. Oktober 2001 (s. Anlage 17) und weiter mit der Ent- 
schließung der 62. Konferenz der Datenschutzbeauftragten 
des Bundes und der Länder (s. Anlage 18). Hierin bekräfti- 
gen sie die Auf fassung, dass bei der künftigen Gesetzge- 
bung die grundlegenden Rechts Staatsprinzipien, nämlich 
das Grundrecht der freien Entfaltung der Persönlichkeit, das 
Verhältnismäßigkeitsprinzip und der Erforderlichkeits- 
grundsatz zu beachten sind („diese verfassungsrechtlichen 
Garantien prägen den Rechtsstaat, den wir gemeinsam zu 
verteidigen haben“). 

Die Datenschutzbeauftragten verdeutlichten gleichwohl, 
dass sie zu einem „of fenen und konstruktiven Dialog über 
etwa notwendige Anpassungen an die neue Bedrohungslage 
bereit“ seien. 

Ich habe schon im V orfeld des ersten Arbeitsentwurfs des 
BMI vom 12. Oktober 2001 (s. Nr. 2.2.2) deutlich gemacht, 
den Kampf des demokratischen Rechtsstaats gegen den Ter- 
rorismus mit Nachdruck zu unterstützen. Dabei war mir 
wichtig klarzustehen, dass einige Forderungen auch aus 
meiner Sicht eher vertreten werden könnten, wenn sie be- 
fristet und einer Erfolgskontrolle (Evaluierung) unterworfen 
würden (s. Nr. 2.3.1). 

2.2 Gesetzgebungsverfahren zum 

Terrorismusbekämpfungsgesetz 

Zentrales Anliegen der Bundesregierung war die Früherken- 
nung terroristischer Planungen, d. h. die Ziel- und Zweck- 
richtung der geplanten Sicherheitsmaßnahmen sollten in 
erster Linie präventiv wirke n. Vor allem daran musste sich 
auch aus datenschutzrechtlicher Sicht das umfangreiche Ge- 
setzespaket, als Sicherheitspaket I und II bezeichnet, mes- 
sen lassen. 

2.2.1 Sicherheitspaket I 

Das Sicherheitspaket I enthielt vor allem die Änderungen 
des Vereinsgesetzes (Aufhebung des so genannten Religi- 
onsprivilegs) und die Luftverkehrs-Zuverlässigkeitsüber- 
prüfüngsverordnung (s. Nr. 20.2). 


Die hier bereits beabsichtigte Einführung des § 129b Straf- 
gesetzbuch (StGB), also die Erweiterung des Anwendungs- 
bereichs der §§ 129, 129a StGB auf kriminelle und terroris- 
tische Vereinigungen weltweit, blieb in der Koalition lange 
strittig und wurde erst am 30. August 2002 wirksam. 

2.2.2 Sicherheitspaket II - Terrorismus- 
bekämpfungsgesetz - Referentenentwurf 
aus dem BMI vom 12. Oktober 2001 

Dieser Entwurf, den ich eherals ein Diskussionspapier ange- 
sehen habe, vermittelte nicht nur bei Datenschützern den Ein- 
druck, als ob hier alle nur denkbaren und gesetzestechnisch 
machbaren Möglichkeiten aufgelistet worden seien, teilweise 
ohne realen Bezug zur T errorismusbekämpfung. Insbeson- 
dere berücksichtigte der Entwurf die in weiten T eilen im 
Volkszählungsurteil des B undesverfassungsgerichts vom 
15. Dezember 1983 formulierten datenschutzrechtlichen 
Vorgaben an Gesetze nicht. Er enthielt vielmehr sehr pau- 
schale, nicht zielgenau auf konkrete Gefährdungssituationen 
im terroristischen Bereich ausgerichtete neue Eingrifsbefug- 
nisse und begegnete damit zu Recht, auch innerhalb der Bun- 
desregierung, vielfältiger Kritik. Datenschutzrechtlich pro- 
blematisiert habe ich insbesondere folgende Defizite dieses 
ersten Entwurfs: 

- Keine Befristung der neuen Befugnisse der Sicherheits- 
dienste; 

- keine Verpflichtung zur Evaluierung; 

- keine Benachrichtigungspflicht an den Betrof fenen bei 
Auskunftsbegehren der Nachrichtendienste gegenüber 
Kreditinstituten, Anbietern von Postdiensten, T elekom- 
munikations- und Telediensten sowie Luftfahrtunterneh- 
men; 

- keine Konkretisierung der bi ometrischen Daten im Ge- 
setz, die in Pässe und Personalausweise aufgenommen 
werden sollten. Dies sollte durch Rechtsverordnung des 
BMI im Benehmen mit dem AA erfolgen; 

- Initiativ-Ermittlungsbefugnis des BKA zur Verdachtsge- 
winnung. 

2.2.3 Gesetzentwurf zur Bekämpfung 
des internationalen Terrorismus 
vom 15. November 2001 (Terrorismus- 
bekämpfungsgesetz - Bundestags- 
drucksache 14/7386) 

Der Entwurf in der Fassung der Vorlage, der das Bundeska- 
binett am 7. November 2001 zugestimmt hat und der als Ge- 
setzentwurf der Bundesregierung wortgleich mit dem 
Gesetzentwurf der Fraktionen SPD und BÜNDNIS 90/DIE 
GRÜNEN zur Bekämpfung des internationalen Terrorismus 
vom 15. November 2001 (Terrorismusbekämpfungsgesetz — 
Bundestagsdrucksache 14/7386) war, enthielt dann jedoch 
gegenüber dem vorgenannten Referentenentwurf erste we- 
sentliche datenschutzrechtliche V erbesserungen, wie bei- 
spielsweise die 

- Streichung der Initiativ-Ermittlungsbefugnis des BKA; 

- Befristung der Neuregelungen im Bundesverfassungs- 
schutzgesetz (BVerfSchG), MAD-Gesetz, BND-Gesetz, 
Artikel 10-Gesetz (G10) und im Sicherheitsüberprü- 
fungsgesetz (SÜG) auf fünf Jahre; 
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- Evaluierung der weiteren Befugnisse in der Begründung 
zu Artikel 22 des Entwurfs; 

- Einführung einer Berichtspflicht bei Auskunftsbegehren 
des BfV gegenüber Kreditinstituten, Finanzdienstleis- 
tungsinstituten, Finanzuntemehmen und Luftfahrtunter- 
nehmen, (nicht jedoch bei Post-, T elekommunikations- 
und Telediensteanbietern); 

- erste Schritte in Richtung einer Benachrichtigung der 
Betroffenen über die durchgeführten Maßnahmen; 

- Festlegung der Anordnungsbefügnisse auf der Ebene 
Behördenleitung bzw. zuständiges Ministerium; 

- Einführung einer Zweckbindungsregelung bei Aus- 
kunftsbegehren des BfV gegenüber Kreditinstituten und 
Luftfahrtuntemehmen; 

- Konkretisierung der biometrischen Daten, die in Pässe 
und Personalausweise aufgenommen werden können, im 
Gesetzentwurf. Weitere Einzelheiten sollten einem künf- 
tigen Bundesgesetz Vorbehalten bleiben. 

2.3 Datenschutzrechtliche Verbesserungen 
„in letzter Minute“ 

Es verblieben dennoch eine Reihe erheblicher datenschutz- 
rechtlicher Defizite, die ich in meiner Stellungnahme vom 
21. November 2001 für die am 30. November 2001 durch- 
geführte Anhörung zum Entwurf des T errorismusbekämp- 
füngsgesetzes und in meiner Stellungnahme vom 7. Dezem- 
ber 2001 vor allem den Mitgliedern des zuständigen 
Innenausschusses des Deutschen Bundestages näher erläu- 
tert habe. 

Meine Kritikpunkte waren im Wesentlichen folgende: 

2.3.1 Evaluierung und strukturierte 
Berichts pflichten 

Der Gesetzentwurf selbst enthielt — im Gegensatz zur Be- 
richtspflicht bei Auskunftsbegehren des BfV - noch keine 
Verpflichtung zu einer Evaluierung der weit reichenden 
neuen Befugnisse der Nachrichtendienste bei Auskunftsbe- 
gehren gegenüber privaten Stellen/Wirtschaftsuntemehmen 
wie Kreditinstituten, Finanzdi enstleistungsinstituten und 
Finanzuntemehmen (§ 8 Abs. 5 BVerfSchG), Postdienstun- 
ternehmen (§ 8 Abs. 6 BV erfSchG), Luftfahrtuntemehmen 
(§8 Abs. 7 BVerfSchG) sowie Anbietern von Telekommu- 
nikations- und Telediensten (§ 8 Abs. 8 BV erfSchG). Ge- 
rade bei solch tiefen Eingriffen in die Persönlichkeitsrechte 
der Bürgerinnen und Bür ger, etwa bei Auskünften durch 
Banken ohne einen konkreten strafrechtlichen Anfangsver- 
dacht, sind aber Ergebnisse über die Effizienz der vom Par- 
lament verliehenen Befugnisse von besonderer Bedeutung. 
Es hegt auf der Fland, dass eine umfassende und er gebnis- 
offene Erfolgskontrolle nur dann wirksam durchgeführt 
werden kann, wenn entsprechend detailliertes Datenmaterial 
zur Verfügung steht. Daher kam es mir darauf an, im Norm- 
text auch inhaltlich geregelt zu wissen, dass die dem Parla- 
mentarischen Kontrollgremium (PKGr) halbjährlich zu lie- 
fernden Berichte der zuständigen Ministerien über die 
Anwendung der neuen Befugnisse umfassende Infonnatio- 
nen und Aussagen über Anlass, Umfang, Dauer , Ergebnis 
und Kosten der im Berichtszeitraum erfolgten Maßnahmen 
enthalten (vgl. § lOOe Strafprozessordnung [StPO], der die 


Berichtspflicht für Maßnahmen im Zusammenhang mit der 
akustischen Wohnraumüberwachung normiert). Diese Be- 
richte, darauf habe ich besonders hingewiesen, sollten durch 
das entsprechend strukturierte Datenmaterial Grundlage für 
eine Evaluierung durch das PKGr des Deutschen Bundesta- 
ges rechtzeitig vor Ablauf der fünfjährigen Befristung der 
neuen Befugnisse der Nachrichtendienste und der Änderun- 
gen des SÜG sein. Sie stellen für mich praktisch die daten- 
schutzrechtliche Grundlagenforschung dar, um die Frage 
nach der verfassungs- und datens chutzrechtlichen Erforder- 
lichkeit und Verhältnismäßigkeit der Maßnahmen beantwor- 
ten zu können. 

Noch nicht vorgesehen in diesem Entwurf war die Pflicht 
zur halbjährlichen Berichterstattung für Auskünfte von 
Postdienstleistem, Anbietern von Telekommunikations- und 
Telediensten sowie für den Einsatz des so genannten 1MSI- 
Catcher, der den Diensten die Ermittlung des Standortes ei- 
nes aktiv geschalteten Mobilfunkendgerätes ermöglichen 
soll (s. Nr. 17.1 und Nr. 8.2.4); ebenso nicht für die neuen 
Befugnisse im MAD-Gesetz und — z. T. - im BND-Gesetz. 

Der Gesetzgeber hat dann allerdngs auf der Grundlage des um- 
fangreichen Änderungsantrages der Koalitionsfraktionen von 
SPD und BÜNDNIS 90/DIE GRÜNENvorder für den 12. De- 
zember 2001 angesetzten „abschließenden“ Beratung des Ent- 
wurfs im Innenausschuss detaillierte Berichtspflichten im o. a. 
Sinne für die neuen Befugnisse der Nachrichtendienste in den 
Dienstegesetzen (s. z. B. § 8 Als. 10 BVerfSchG) geregelt und 
die Evaluierung der neuen Regelungen vor Ablauf der Befris- 
tung normiert (s. z. B. § 8 Abs. 10 BVerfSchG - s. Nr. 2.5). 

Flinzuweisen ist jedoch darauf, dass § 8 Abs. 10 BV erfSchG 
mit der Begründung des Gesetzen twurfs nicht vollständig 
übereinstimmt. Der Gesetzestext, der über Verweisungen auch 
für die neuen Befügnisse des MAD (s. Nr. 18.1) und des BND 
(s. Nr. 19.1) gilt, führt aus, dass das PKGr dem Deutschen Bun- 
destag jährlich sowie nach Abla uf von drei Jahren nach In- 
Kraft-Treten des T errorismusbekämpfüngsgesetzes zusam- 
menfassend zum Zweck der Evaluierung einen Bericht erstat- 
tet. ln der Begründung (Bundestagsdrucksache 14/7864 vom 
13. Dezember 2001) heißt es allerdings, dass das PKGr drei 
Jahre nach In-Kraft-Treten des Gesetzes einen zusammenfas- 
senden Evaluierungsbericht an den Deutschen Bundestag zu 
erstatten hat. 

Ich gehe davon aus, dass das PKGr die Evaluierung, ggf. 
mit wissenschaftlicher Begleitung, auf der Grundlage der 
Berichte der Ministerien durchführen soll (s. auch Nr. 2.4). 

2.3.2 Normenklare Regelung im Sicherheits- 
überprüfungsgesetz 

Die beabsichtigte Einführung eines vorbeugenden personel- 
len Sabotageschutzes mit erweiterten Aufgaben des BfV 
ging weit über den bisherigen Anwendungsbereich des 
SÜG, also den personellen Geheimschutz, hinaus. 

Um den Kreis der von solchen weit reichenden Überprü- 
füngsmaßnahmen betroffenen Personen und Bereichen der 
Wirtschaft und des öf fentlichen Dienstes einzugrenzen, 
habe ich gefordert, nach de m Bestimmtheitsgrundsatz die 
Voraussetzungen für die im Gesetz genannte „sicherheits- 
empfindliche Stelle“ im Gesetz selbst zu definieren. 

Der Gesetzgeber ist dieser Forderung gefolgt; die Regelun- 
gen zum vorbeugenden Sabotageschutz sind normenklar 
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gefasst worden und unterliegen ebenfalls einer Erfolgskon- 
trolle (s. im einzelnen Nr. 20.1). 

2.3.3 Bundeskriminalamt als Zentralstelle 

Von der angestrebten Ergänzung des § 7 Abs. 2 BKA-Ge- 
setz, einer Art originärer Datenerhebung durch das BKA, 
habe ich abgeraten: ln seiner Funktion als Zentralstelle zur 
Unterstützung der Polizeien des Bundes und der Länder ist 
es eine wesentliche Aufgabe des BKA, die von diesen Stel- 
len übermittelten Infonnationen zu sammeln und auszuwer- 
ten (§2 BKA-Gesetz). Es ist daher — entsprechend der gel- 
tenden Rechtslage - sachgerecht, wenn sich das BKA bei 
einer notwendigen Ergänzung der übermittelten Infonnatio- 
nen zunächst an die ursprünglic he Stelle der Polizeien des 
Bundes und der Länder wendet, zumal diese wegen der ih- 
nen obliegenden Strafverfolgungszuständigkeit die vorhan- 
denen Infonnationsdefizite kompetenter ausgleichen kön- 
nen als andere öffentliche oder nicht öffentliche Stehen. 

Der Gesetzgeber ist zwar diesen Bedenken nicht gefolgt. 
Die Neufassung des § 7 Abs. 2 Satz 2 BKA-Gesetz ist je- 
doch ebenfalls auf fünf Jahre befristet worden und einer 
Evaluierung zu unterziehen. 

Anders als bei den neuen Be fugnissen der Nachrichten- 
dienste ist jedoch das V erfahren, vor allem der Inhalt der 
Berichtspflichten, nicht gesetzlich geregelt worden und so- 
mit im Detail noch festzulegen. 

2.3.4 Keine Zentraldatei mit biometrischen 
Daten 

Zwar war in diesem Gesetzentwurf insofern bereits eine we- 
sentliche Verbesserung enthalten, als zu den biometrischen 
Merkmalen auch „die Art ihrer Speicherung, ihrer sonstigen 
Verarbeitungen und ihrer Nutzung“ durch (Bundes)Gesetz 
geregelt werden sollten. Ich habe aber nachdrücklich darauf 
hingewiesen, dass damit die Grundlage zu überregionalen/ 
zentralisierten Referenzdateien bzw. einer Referenzdatei als 
einer Zentraldatei gelegt worden wäre. Nach meinen Erfah- 
rungen birgt eine solche Datensammlung immer die Gefahr, 
dass sie nicht allein zu dem ursprünglich gedachten Zweck, 
hier zur Identifikation von Personen, genutzt, sondern nach- 
folgend auch von Polizei, Geheimdiensten oder gar zu kom- 
merziellen Zwecken ausgewertet wird. Ich habe daher nach- 
drücklich vorgeschlagen, die Unzulässigkeit einer solchen 
Einrichtung im Gesetz ausdrücklich festzulegen. 

Dem ist der Gesetzgeber gefolgt und hat eine zentrale Erfas- 
sung biometrischer Daten in einer Zentraldatei ausdrücklich 
gesetzlich ausgeschlossen. 

2.3.5 Einbeziehung von Gesundheitsdaten in 
die Rasterfahndung 

Die - zunächst - vorgesehene Änderung des § 68 des Zehn- 
ten Buches Sozialgesetzbuch (SGB X) habe ich für zu weit 
gehend gehalten. Bei den Sozi aldaten handelt es sich um 
personenbezogene Daten, die einem Berufs- oder besonde- 
ren Amtsgeheimnis unterliegen (s. § 35 SGB I). Die Sozial- 
daten umfassen in erheblichem Umfang insbesondere Anga- 
ben zur Gesundheit des Betrof fenen. Diese sensiblen Daten 
bedürfen eines besonderen Schutzes, wie er auch in Artikel 8 
der EG-Datenschutzrichtlinie zum Ausdruck kommt. Sie 
sollten nicht in die Rasterfahndung einbezogen werden. Die 


Polizeigesetze einiger Lä nder (z. B. Hamburg und Nord- 
rhein-Westfalen) schließen dies ausdrücklich aus. 

Der Gesetzgeber ist meinen Bedenken gefolgt. 

2.4 Ohne Resonanz blieb folgende Kritik 

2.4.1 Online-Zugriff der Nachrichtendienste 
auf das Ausländerzentralregister 

Den in § 22 des Gesetzes über das Ausländerzentralregister 
vorgesehenen nunmehr uneinge schränkten Online-Zugriff 
der Dienste auf den gesamten Datenbestand des Ausländer- 
zentralregisters (AZR) habe ic h kritisiert. Das AZR hat die 
Aufgabe, die mit der Durchführung ausländer - oder asyl- 
rechtlicher Vorschriften betrauten Behörden und andere 
Stellen zu unterstützen. V or diesem Hintergrund habe ich 
darauf hingewiesen, dass das AZR mit dem o. a. Direktzu- 
griff auch bei einer abstrakten Gefährdungslage eine neue 
Qualität erhielte; es würde in ein polizei- bzw . nachrichten- 
dienstliches Register verändert. 

Der Gesetzgeber ist meinen Bedenken leider nicht gefolgt. 

2.4.2 Fingerabdruckdaten von Asylbewerbern 

Mit der Neuregelung des § 16 Abs. 5 Asylverfahrensgesetz 
werden die von Asylbewerbern gemäß § 16 Abs. 1 Asylver- 
fahrensgesetz erhobenen Fingerabdruckdaten, die von der 
eigentlichen Zweckbestimmung her der Identitätsfeststel- 
lung dienen und nur im Einzelfall zur Aufklärung einer 
Straftat oder zur Gefahrenabwehr herangezogen werden 
können, den auf der Grundlage des § 81b StPO bzw. der Po- 
lizeigesetze der Länder erhobenen Fingerabdrücken von Be- 
schuldigten und V erdächtigen gleichgestellt. Gegen diese 
Neuregelung habe ich auch aus Gründen der V erhältnismä- 
ßigkeit erhebliche Zweifel geäußert. 

Der Gesetzgeber ist meinen Bedenken leider nicht gefolgt. 

2.5 Fazit und Ausblick 

Auch wenn ich - wie dar gelegt - nicht mit allen Er gebnis- 
sen zufrieden bin, sehe ich bei dem V ergleich der , Aus- 
gangslage“ im ersten Arbeitsentwurf eines T errorismus- 
bekämpfungsgesetzes vom 12. Oktober 2001 mit dem am 
1 . Januar 2002 in Kraft getretenen Gesetzespaket eine hin- 
nehmbare Kompromisslösung mit einer Reihe von erfreu- 
lichen datenschutzrechtlichen Fortschritten. Dies gilt in erster 
Linie für die Evaluierung und Befristung der neuen Befug- 
nisse der Sicherheitsbehörden. Erstmals werden die Voraus- 
setzungen für eine Erfolgskontrolle und die V erpflichtung 
zur Evaluierung im Sicherheitsbereich gesetzlich geregelt 
(Artikel 22 Abs. 3). Es gilt der V orbehalt, dass die entspre- 
chenden Maßnahmen erforderlich, geeignet und verhältnis- 
mäßig sein müssen. Dies ist im Rahmen der Evaluierung auf 
der Grundlage aussagekräftiger Berichte der Bundesregie- 
rung zu prüfen, d. h. die gesammelten Erfahrungen müssen 
gründlich ausgewertet werden. 

Es sind nicht wenige, die ihre Skepsis artikulieren, ob denn 
die Gesetzesevaluierung tatsächlich mit dem erforderlichen 
Nachdruck durchgeführt werde. Auch das Know-how muss 
vorhanden sein — schließlich geht es bei der Evaluierung 
um die Beurteilung und Bewertung der W irkung staatlicher 
Programme und Maßnahmen mi t wissenschaftlichen Metho- 
den. Zurückgreifen - hof fe ich — könnte man auf die dann 
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(endlich) vorliegenden Erfahrungen aus dem Forschungs- 
auftrag des BMJ an das Max-Planck-lnstitut zur Evaluie- 
rung der Telefonüberwachung nach § 100a StPO (vgl. auch 
Nr. 8.3), die Erkenntnisse aus dem - anfangs im Hinblick 
auf das unzureichende Datenmaterial unbefriedigenden - 
Berichtsverfahren nach § lOOe StPO und die Ergebnisse im 
Bereich der akustischen Wohnraumüberwachung (vgl. auch 
Nr. 8.4). Jedenfalls ist im Ko alitionsvertrag bekräftigt wor- 
den, die Evaluierung „bis Mitte der Legislaturperiode“ vor- 
zunehmen. 

Die - hoffentlich - vor allem in präventiver Hinsicht grei- 
fenden Maßnahmen im T errorismusbekämpfüngsgesetz ha- 
ben sich nach alledem einer kritischen Begleitung zu stellen. 
Dies sollte durch die lückenlose Kontrollfünktion der Gl 0- 
Kommission, des PKGr und meiner Behörde - entspre- 
chende Kontrollinstitutionen gibt es auch auf Länderebene - 
sowie durch die nunmehr gesetzlich geregelte Berichts- und 
Evaluierungspflicht möglich sein. Meine Aufgabe sehe ich 
auch darin, die Öf fentlichkeit und die Medien hinsichtlich 
der Anwendung und des Nutzens der neuen Befugnisse im 
Terrorismusbekämpfungsgesetz zu sensibilisieren. 

Es bleibt abzuwarten, wie die neuen Befügnisnormen greifen. 
Daher habe ich den neuerlichen Vorstoß einiger Länder, Inter- 
netanbieter verpflichten zu wollen, sämtliche Nutzungsd aten 
ihrer Kunden monate- oder gar jahrelang zu speichern und 
auf Anforderung an die Polizei, die Staatsanwaltschaft und 
sogar die Nachrichtendienste herauszugeben, abgelehnt. Mit 
einer solchen V orratsspeicherung persönlicher Daten von 
Millionen rechtstreuer Bür ger würde der Grundsatz, dass 
erst ein Anfangsverdacht best ehen muss bevor die Polizei 
ermitteln darf, auf den Kopf gestellt. 

3 Die notwendige Erneuerung 

des Datenschutzes 

3.1 Weiterentwicklung des Datenschutzrechts 

ln meinen letzten Tätigkeitsberichten habe ich kontinuierlich 
über die Weiterentwicklung des Datenschutzrechts berichtet 
(zuletzt 18. TB Nr. 2). Ständig neue technische Entwicklun- 
gen mit zum Teil tief greifender datenschutzrechtlicher Rele- 
vanz, Harmonisierungsbemühungen und Anforderungen des 
internationalen und europäischen Rechts, neue gesellschaftli- 
che und politische Problemstellungen und ein sich wandelndes 
Bewusstsein der Bürger hinsichtlich ihres Grundrechts auf in- 
formationelle Selbstbestimmung bedingen einenpennanenten 
Prozess der Überprüfung, Anpassung und Fortentwicklung 
des Bundesdatenschutzgesetzes und anderer datenschutz- 
rechtlicher Regelungen. Nur so kann das Schutzniveau für 
die personenbezogenen Daten der Bür ger aufrechterhalten 
und möglichst noch vergrößert werden. So haben noch vor 
In-Kraft-Treten der Novelle zum BDSG (s. dazu Nr. 3.2) die 
Überlegungen zu einer weiteren grundlegenden Reform des 
Datenschutzrechts (s. dazu Nr. 3.3) begonnen. Daneben wa- 
ren im Bereich der inneren Sicherheit und der T errorismus- 
bekämpfüng neue gesetzliche Regelungen erforderlich, die 
eine Neujustierung des Verhältnisses zwischen Sicherheits- 
belangen und Datenschutz gebracht haben, ln anderen 
wichtigen Feldern wie der Gentechnologie oder dem Arbeit- 
nehmerdatenschutz sind gesetzliche Regelungen in \6rberei- 
tung. 


3.2 Umsetzung der BDSG-Novelle 

Im 18. Tätigkeitsbericht habe ich ausführlich den Entwurf 
der Bundesregierung für ein Gesetz zur Änderung des Bun- 
desdatenschutzgesetzes und anderer Gesetze (Bundestags- 
druck-sache 14/4329) vorgestellt (Nr. 2.1.3). Nach einge- 
henden Beratungen im Deutschen Bundestag und im 
Bundesrat ist es mit einigen Änderungen und Er gänzungen, 
aber im wesentlichen Kern unverändert, am 18. Mai 2001 
verkündet worden (BGBl. 1 S. 904) und am 23. Mai 2001 in 
Kraft getreten. Damit ist endl ich nach fünf Jahren zähen 
Ringens die europäische Datenschutzrichtlinie 95/46/EG 
vom 24. Oktober 1995 auf Bundesebene in nationales Recht 
umgesetzt und das bereits von der Europäischen Kommis- 
sion eingeleitete Vertragsverletzungsverfahren (vgl. 18. TB 
Nr. 2.6) in letzter Minute abgewendet worden. 

Wenn auch nicht alle Erwartungen und Wünsche erfüllt 
worden sind, so bringt doch diese Neufassung des BDSG 
zahlreiche und wichtige Verbesserungen sowohl für den Da- 
tenschutz im öffentlichen Bereich als auch für nicht öffentli- 
che Stellen. Neben vielen anderen bedeutenden Änderungen 
sind mir die neuen Regelungen zu 

- Datenvermeidung und Datensparsamkeit (§ 3a), 

- Vorabkontrolle (§ 4d Abs. 5 und 6), 

— automatisierten Einzelentscheidungen (§ 6a), 

— Beobachtung öffentlich zugänglicher Räume mit op- 
tisch-elektronischen Einrichtungen/Videoüberwachung 
(§ 6b), 

— mobilen personenbezogenen Speicher - und V erarbei- 
tungsmedien/Chipkarten (§ 6c), 

- Datenschutzaudit (§ 9a) 

besonders wichtig, weil sie das Grundrecht auf informatio- 
neile Selbstbestimmung in für den Bür ger wichtigen Berei- 
chen stärken. 

Trotz der langen Vorlaufzeit habe ich aber feststellen müs- 
sen, dass die Umsetzung des neuen BDSG vielfach nur sehr 
schleppend anlief und zu Unsicherheit und Interpretations- 
schwierigkeiten geführt hat. Für den meiner Zuständigkeit 
unterliegenden öffentlichen Bereich habe ich mich deswe- 
gen im August 2001 schriftlich an alle Ressorts gewandt, 
auf die geänderte Rechtslage, insbesondere auch was den 
behördlichen Datenschutzbeauftragten anbelangt, hingewie- 
sen und um Unterstützung gebeten. Gleichwohl kann ich 
aber auch bei Redaktionsschluss noch nicht feststellen, dass 
das neue BDSG im öf fentlichen wie im nicht öf fentlichen 
Bereich vollständig umgesetzt wäre. 

3.2.1 Auditgesetz 

Mit dem neuen § 9a enthält das Bundesdatenschutzgesetz 
erstmals eine Regelung zum Datenschutzaudit. Diese Be- 
stimmung ist mir besonders wich tig, weil sie Ausdruck für 
einen neuen, modernen Ansatz im Datenschutzrecht ist. 
Nach ihr können Anbieter von Datenverarbeitungssystemen 
und -programmen und datenverarb eitende Stellen zur V er- 
besserung des Datenschutzes und der Datensicherheit ihr 
Datenschutzkonzept sowie ihre technischen Einrichtungen 
durch unabhängige und zugelass ene Gutachter prüfen und 
bewerten lassen sowie das Ergebnis der Prüfung veröffent- 
lichen. Obwohl es sich hi erbei um eine Kann-Bestimmung 
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handelt, die den Gedanken aufgreift, Datenschutz nicht res- 
triktiv als Behinderung zu begreifen, sondern positiv einzu- 
setzen als Mittel des wirtscha ftlichen Wettbewerbs, als ver- 
kaufsforderndes Plus, das die Sor gen der Anwender und 
Konsumenten aufgreift und ihnen abhilft, waren im V orfeld 
die Widerstände gegen diese Regelung erheblich. Ich bin 
froh, dass der Anregung des Bundesrats in seiner Stellung- 
nahme vom 29. September 2000 (Bundesratsdruck- 
sache 461/00), diese V orschrift zu streichen, im weiteren 
Gesetzgebungsverfahren nicht gefolgt wurde. 

Umso bedauerlicher ist, dass die Bestimmung bis heute leer 
läuft, weil das nach § 9a Satz 2 BDSG erforderliche Ausfüh- 
rungsgesetz fehlt, das die näheren Anforderungen an die Prü- 
fung und Bewertung, das Verfahren sowie die Auswahl und 
Zulassung der Gutachter regeln soll. Das innerhalb der Bun- 
desregierung hierfür zuständige Bundesministerium des In- 
nern hat zunächst die V erwaltungshochschule Speyer mit 
einer Gesetzesfolgenabschätzung beauftragt. Der Abschluss- 
bericht sollte im Herbst 2002 vor hegen, stand aber bei Re- 
daktionsschluss immer noch aus. Erst danach soll das Aus- 
führungsgesetz in Angriff genommen werden. 

Die durch dieses V erfahren eingetretene V erzögerung be- 
dauere ich sehr und ich befürchte, dass der im Gesetz vorge- 
gebene Ansatz Schaden leiden kann, ln der Zwischenzeit 
wurden und werden von unterschiedlichen Stellen zu unter- 
schiedlichen Zwecken Datens chutzaudits entwickelt und 
angeboten, bei denen völlig of fen ist, ob sie den künftigen 
gesetzlichen Anforderungen entsprechen werden. Sollte 
dies nach In-Kraft-Treten des Ausführungsgesetzes zu § 9a 
BDSG dann nicht der Fall sein, sind nicht nur die entspre- 
chenden finanziellen und personellen Ressourcen ver geb- 
lich eingesetzt worden, es droht auch V erwirrung und Ent- 
täuschung bei Unternehmen und V erbrauchem, die die 
bereits angebotenen Datenschutzaudits mit Blick auf § 9a 
BDSG einsetzen bzw. darauf vertrauen. Dies kann den rich- 
tigen Gedanken der Auditierung datenschutzgerechter Soft- 
und Hardware und von Datenschutzkonzepten entwerten. 

Deswegen erwarte ich, dass das Ausführungsgesetz zu § 9a 
BDSG jetzt zügig erarbeitet un d verabschiedet wird, damit 
endlich eine Auditierung auf dieser Grundlage beginnen 
kann. 

3.2.2 Videoüberwachung 

Bereits in meinem 18. Tätigkeitsbericht (Nr. 2.1.3) habe ich 
die neue Regelung des § 6b BDSG vor gestellt, die inzwi- 
schen mit der Novellierung am 23. Mai 2001 in Kraft getre- 
ten ist. Damit ist es erstma ls gelungen, eine allgemeine 
Rechtsgrundlage für die viel fähigen Videoüberwachungen 
des öffentlich zugänglichen Raumes zu schaffen, die in glei- 
cher Weise für öf fentliche wie auch für nicht öf fentliche 
Stellen gilt. Im Gegensatz zu einer vielstimmigen Kritik, die 
diese neue Vorschrift als zu weit gefasst ansieht und eine 
stärkere gesetzliche Eingrenzung von V ideoüberwachun- 
gen fordert, beurteile ich die jetzt geltende Regelung grund- 
sätzlich positiv und sehe in ihr einen angemessenen Interes- 
senausgleich zwischen dem Grundrecht auf informationelle 
Selbstbestimmung einerseits und den berechtigten Belangen 
derer andererseits, die eine Videoüberwachung für gesetz- 
lich zugelassene Zwecke einsetzen. Angesichts der fortdau- 
ernden kritischen Bewertung ist es aber umso wichtiger , 
dass die gesetzlichen Vorschriften strikt eingehalten werden. 


Dabei kommt auch technischen und psychologischen As- 
pekten große Bedeutung zu (vgl. hierzu Nr. 4.1). 

Leider habe ich aber feststellen müssen, dass die Umsetzung 
der neuen Bestimmung nur schleppend erfolgt. So sind auch 
anderthalb Jahre nach In-Kraft-Treten bei weitem nicht alle 
von der gesetzlichen Regelung betrof fenen Kameras ent- 
sprechend gekennzeichnet. Dies gilt nicht nur für nicht öf- 
fentliche Stellen, etwa in Parkhäusem oder vor Geldautoma- 
ten, sondern - wie ich auch anlässlich von Kontrollen 
feststellen musste — vielfach auch für öf fentliche Stellen. 
Wie schwer sich auch diese mit der neuen Regelung tun, 
veranschaulichen die Antworten der Bundesregierung auf 
zwei Kleine Anfragen der PDS-Fraktion im Deutschen Bun- 
destag zur Kennzeichnung videoüberwachter Bundesge- 
bäude, von denen die erste (Bundestagsdrucksache 14/7905) 
von einer unzutreffenden rechtlichen Wertung ausging und 
auch die zweite (Bundestagsdrucksache 14/8263) nach mei- 
ner Bewertung nicht voll dem gesetzlichen Regelungsgehalt 
entspricht. Ich habe mich deswegen mehrfach an das Bun- 
desministerium des Innern gewandt, das daraufhin die Über- 
wachung des öffentlich zugänglichen Raumes durch Video- 
kameras für seinen Geschäftsbereich durch einen Erlass 
vom 24. Juni 2002 geregelt hat, bei dessen Ausarbeitung ich 
beteiligt war. 

Die Konferenz der Datenschutzbeauftragten des Bundes 
und der Länder hat sich im Berichtszeitraum regelmäßig mit 
dieser Thematik befasst und eine Arbeitsgruppe eingesetzt, 
die aufgrund der Erfahrungen mi t der derzeitigen Regelung 
Vorschläge für die von der Bundesregierung angekündigte 
Zweite Stufe der BDSG-Novellierung erarbeiten soll. Ich 
werde hieran aktiv mitarbeiten und auch in Zukunft mein 
besonderes Augenmerk auf die Anwendung des § 6b BDSG 
richten. 

3.2.3 Selbstregulierung, § 38a BDSG 

Artikel 27 Abs. 1 der europäischen Datenschutzrichtlinie 
95/46/EG verpflichtet Mitg liedsstaaten und Kommission 
zur Förderung der Ausarbeitung von V erhaltensregeln. Da- 
bei hegt das Ziel ausdrücklich darin, die bereichsspezifische 
Relevanz der aufgrund der Richtlinie erlassenen einzelstaat- 
lichen Vorschriften zu erhöhen. Im Rahmen der Umsetzung 
dieser europäischen Vorgaben sollen nach § 38a BDSG Ver- 
haltensregeln von Berufs- und Branchenverbänden als in- 
terne Regelungen zur ordnungsgemäßen Durchführung da- 
tenschutzrechtlicher Vorschriften beitragen. Die in § 38a 
Abs. 1 BDSG genannten Verbände und Vereinigungen kön- 
nen von ihnen erarbeitete Verhaltensregeln der Datenschutz- 
aufsichtsbehörde unterbreiten, die dann nach § 38a Abs. 2 
BDSG die Vereinbarkeit der ihr unterbreiteten Entwürfe mit 
dem geltenden Recht überprüft. 

Infolge dieser neuen Möglichkeit haben im Berichtszeit- 
raum eine Reihe von V erbänden und Konzernen im W ege 
der Selbstregulierung entsprechende V erhaltensregeln aus- 
gearbeitet und den jeweils zuständigen Aufsichtsbehörden 
vorgelegt. Dabei haben sich in der Praxis Unsicherheiten 
und Schwierigkeiten ergeben, die sich nicht ohne weiteres 
und unmittelbar anhand des Gesetzestextes lösen ließen und 
die auch den Düsseldorfer Kreis beschäftigt haben. Im W e- 
sentlichen ging es dabei um den möglichen Inhalt, die V er- 
bindlichkeit solcher Regelungen und um den Prüfmaßstab 
der Aufsichtsbehörden. 
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Aus den maßgeblichen gesetzlichen Bestimmungen er gibt 
sich, dass verbands- oder konzeminterne Verhaltensregelun- 
gen weder das Gesetz ersetzen noch von ihm abweichen 
können. Ziel ist vielmehr , die Durchführung datenschutz- 
rechtlicher Bestimmungen zu fördern. Ausreichend ist mit- 
hin nicht lediglich eine W iederholung des Gesetzes. Das 
Gesetz eröffnet durch eine Selbstbindung des V erbandes, 
der Branche oder des Konzerns die Möglichkeit, ein Mehr 
als das gesetzlich Notwendige zur Förderung des Daten- 
schutzes und dies auf freiwilliger Basis zu schaf fen, aber 
auch die Vorgaben des Gesetzes verbands-, branchen- oder 
konzemspezifisch zu präzisieren. 

Zu den Verbindlichkeiten solcher von den Datenschutzauf- 
sichtsbehörden geprüften Verhaltensregeln sagt das Gesetz 
indes nichts. Meines Erachtens kann die Aufsichtsbehörde 
nach geltendem Recht für ihre Kontrolltätigkeit immer nur 
die Vorschriften des BDSG bzw . einschlägiger Spezialge- 
setze zugrunde legen. Verstöße gegen präzisierende oder gar 
weiter gehende Verhaltensregeln können kein Einschreiten 
der Aufsichtsbehörde auslösen. Entsprechendes gilt erst 
recht für die Feststellung von Ordnungswidrigkeiten oder 
Straftatbeständen. Ob die V erhaltensregeln mit verbands- 
oder konzemintemen Sanktionen bei V erstößen hiergegen 
zu belegen sind, bleibt im Ermessen derer, die diese Regeln 
beschließen. Zwingend erforderli ch ist dies nach dem Ge- 
setz nach meiner Auffassung nicht. 

Auch die in § 38a Abs. 2 BDSG vor gesehene Überprüfung 
durch die Datenschutzaufsichtsbehörde kann sich meines 
Erachtens immer nur auf die V ereinbarkeit mit dem gelten- 
den Recht beziehen, nicht aber darauf, ob die V erhaltensre- 
geln sinnvoll und praktikabel erscheinen oder ob es wün- 
schenswert wäre, noch weitere Bestimmungen zu tref fen, 
die über das gesetzlich Gebotene hinausgehen. 

Die Erörterungen im Düsseldorfer Kreis sind noch nicht ab- 
geschlossen. Sollte im Zuge der zweiten Stufe der BDSG- 
Novellierung entsprechend den Gutachtervorschlägen auch 
die branchenspezifische Selbstregulierung und Selbstkon- 
trolle (vgl. Nr. 3.3) ausgebaut werden, wären gesetzliche 
Präzisierungen zu den aufgetretenen Fragen überlegenswert. 

3.2.4 Drittstaatenübermittlungen 
nach §§ 4b, 4c BDSG 

Die Regel-Ausnahme -Kombination der §§ 4b und 4c BDSG 
beantwortet - in Umsetzung von Artikel 25 und 26 der EG- 
Datenschutzrichtlinie (s. 16. TB Nr . 2.1, 17. TB Nr . 2.1.1, 
18. TB Nr. 2.1.2) — die Frage, inwieweit von Deutschland 
ausgehende Datenübermittlungen nach materiellem Recht 
zulässig sind. Die mit der N ovellierung des BDSG in das 
Gesetz eingestellten Vorschriften wurden in den Ersten Ab- 
schnitt eingefügt, der die al lgemeinen und gemeinsamen 
Bestimmungen enthält. Damit ist klargestellt, dass die §§ 4b 
und 4c entsprechend den V orgaben der Richtlinie als ein- 
heitliche Regelungen für den öffentlichen wie für den nicht 
öffentlichen Bereich gelten. 

3.2.4.1 Beurteilung der Angemessenheit des 
Schutzniveaus und Verantwortung für 
die Zulässigkeit der Übermittlung 

Die europäische Datenschutzrichtlinie bezweckt, dass die Eu- 
ropäische Union zu einem ei nheitlichen informationellen 
Großraum wird, innerhalb dessenoffene Grenzen und ein glei- 


cher Datenumgang sicher gestellt sind (s. 16. TB Nr . 2.1.1). 
Das BDSG stellt daher den inner gemeinschaftlichen Daten- 
verkehr dem inländischen gleich (§ 4b Abs. 1) und gewähr- 
leistet damit unionsweiten „freien“ Datenverkehr Diese Rege- 
lung umfasst neben den Mitgli edsstaaten der Europäischen 
Union auch die anderen Vertragsstaaten des Abkommens über 
den Europäischen W irtschaftsraum (EWR), d. h. Norwegen, 
Island und Liechtenstein sowie die Organe und Einrichtungen 
der Europäischen Gemeinschaft en. Im Hinblick auf letztere 
wird durch die gesetzliche Re gelung der durch den V ertrag 
über die Europäische Union von Amsterdam in den V ertrag 
zur Gründung der Europäischen Gemeinschaft eingefügte Ar- 
tikel 286 berücksichtigt, durch den die Geltung der Richtlinie 
für die Organe und Einrichtungen der Europäischen Gemein- 
schaften verbindlich gemacht wurde (s. 18. TB Nr. 2.3). 

Schon heute lässt sich sagen, dass der unionsweite „freie“ 
Datenverkehr für die Praxis eine große Erleichterung ge- 
bracht hat. Auch wenn multinationale Unternehmen weiter- 
hin über die nach wie vor unterschiedlichen Kontrollverfah- 
ren - insbesondere bei der Anmeldung - klagen, wird doch 
allgemein anerkannt, dass die offenen Grenzen einen großen 
Fortschritt darstellen. 

Hinsichtlich der Datenübermittlungen an Stellen außerhalb 
der Union und des EWR, also an Drittstaaten, hat die Novel- 
lierung des BDSG zwar formell eine neue Regelung ge- 
bracht (§ 4b Abs. 2), die allerdings inhaltlich weitgehend 
der alten Rechtslage entspricht. Ihr materieller Kern besteht 
darin, dass eine Übermittlung zu unterbleiben hat, soweit ihr 
ein schutzwürdiges Interesse des Betroffenen entgegensteht 
(was schon bisher galt), und präzisiert dies dahin gehend, 
dass dies der Fall ist, wenn bei dem Empfänger „ein ange- 
messenes Datenschutzniveau“ nicht gewährleistet ist (§ 4b 
Abs. 2 Satz 2). Die Feststei lung, ob ein angemessenes Da- 
tenschutzniveau besteht, ist Sache der übermittelnden 
Stelle; sie trägt auch dafür die Verantwortung (§ 4b Abs. 5). 

Bei der Beurteilung, ob das Datenschutzniveau angemessen 
ist, ist nicht einzig auf die für den Empfänger geltenden 
Rechtsnonnen abzustellen, sondern auch auf „die für ihn 
geltenden Standesregelungen und Sicherheitsmaßnahmen“, 
darüber hinaus auf alle Umstände, die bei der Datenüber- 
mittlung von Bedeutung sind, wie insbesondere die Art der 
Daten, die Zweckbestimmung, die Dauer der geplanten Ver- 
arbeitung und das Endbestimmungsland (§ 4b Abs. 3). Die 
Beurteilung erfolgt also nicht global für alle Empfänger des 
betreffenden Landes und alle Übermittlungen, die an diese 
gerichtet sind, sondern nach den Umständen des Einzelfalls 
bzw. der Fallgruppe. 

Da die Feststellung des angemessenen Schutzniveaus mit gro- 
ßen Aufwendungen verbunden se in kann, ermächtigt Arti- 
kel 25 Abs. 6 der EG-Datenschut zrichtlinie die Europäische 
Kommission, mit für alle EU -Mtgliedsstaaten bindender Wir- 
kung allgemein festzustellen, dass ein Drittland angemessenes 
Datenschutzniveau gewährleistet. Dies ist für die Schweiz, 
Ungarn und die Vereinigten Staaten von Amerika (vgl. 1 8. TB 
Nr. 2.2, Nr. 32.2.1 und Nr. 32.2.2) sowie für Kanada gesche- 
hen (Entscheidung der Kommission vom 20. Dezember 2001 , 
ABI. 2/13 vom 4. Januar 2002). W ie schon im Falle der 
Vereinigten Staaten von Amerika wurde dabei der Geltungs- 
bereich der Feststellung eingegr enzt. Sie gilt nur für den 
Anwendungsbereich des kanadi sehen Personal Information 
Protection and Electronic Documents Act (s. auch unter 32.4). 
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3.2.4.2 Ausnahmen vom Grundsatz der 

Angemessenheit durch allgemeine 
Regelungen und Einzelgenehmigungen 

Die in § 4b BDSG enthaltene Grundsatzregelung wird gern. 

§ 4c BDSG durch zwei Gruppen von Ausnahmen durchbro- 
chen. Die eine greift in katalogartiger Auflistung unmittelbar 
zugunsten der verantwortlichen Stelle ein, während die an- 
dere Ausnahmengruppe sich auf einzelfallbezogene Geneh- 
migungsmöglichkeiten bei Gewährleistung ausreichender 
Garantien durch die verantwortliche Stelle bezieht. 

Bei den in § 4c Abs. 1 Satz 1 Nr. 1 bis 6 angeführten T at- 
beständen handelt es sich nich t um eine kumulativ zu be- 
rücksichtigende Aufzählung, sondern es genügt, wenn min- 
destens eine der genannten Ausnahmen vorliegt. Die 
Tatbestände zeichnet aus, da ss sie konkret beschriebene 
Fallgestaltungen enthalten, in denen eine Gefährdung des 
Grundrechts auf informationelle Selbstbestimmung nicht zu 
erwarten ist. Dies kann durch die Bedingungen der Daten- 
übermittlung oder die Zusammenhänge, in denen diese statt- 
findet, begründet sein. Im Einzelnen sieht die Regelung fol- 
gende Ausnahmetatbestände vor: 

- Einwilligung, 

- Vertragserfüllung und vorvertragliche Maßnahmen, 

- Vertrag im Betroffeneninteresse, 

- wichtiges öffentliches Interesse und Rechtsansprüche, 

- lebenswichtige Interessen, 

- öffentliche Register. 

Für den Fall, dass eine der vorgenannten Katalogausnahmen 
nicht eingreift, kann die verant wörtliche Stelle gleichwohl 
ein solches auf andere W eise garantieren. Diesbezügliche 
Garantien können sich nach § 4c Abs. 2 „insbesondere“ aus 
Vertragsklauseln und verbind liehen Untemehmensregelun- 
gen ergeben, die der Aufsichtsbehörde zur Genehmigung 
vorzulegen sind. 

Solche vertragliche Verpflichtungen sind nur dann ausrei- 
chende Garantien, wenn der durch sie verbür gte Schutz des 
Betroffenen nach Abschluss de s Vertrages nicht mehr zur 
Disposition der die Daten exportierenden verantwortlichen 
Stelle und des Datenimporteurs im Drittland steht. Ebenso 
wichtig ist, dass der Datenex porteur die Einhaltung der ihm 
durch Vertrag gemachten Zusagen überwacht und diese nöti- 
genfalls beim Vertragspartner einfordert. Auch muss sicher- 
gestellt sein, dass die V ertragsklauseln im Empfängerland 
wirksam sind. Kommt die Datenschutzaufsichtsbehörde zu 
dem Ergebnis, dass die beigebrachten Garantien auf vertrag- 
licher Grundlage im Hinblick auf die festgestellten Risiken 
als ausreichend anzusehen sind, kann sie die beabsichtigte 
Datenübermittlung genehmigen. 

Mit Bezug auf das Genehmigungsverfahren hat der Düssel- 
dorfer Kreis ein Abstimmungsverfahren vereinbart. Ein Ga- 
rantievertrag ist seitens der verantwortlichen Stehe zunächst 
der für sie zuständigen Aufsichtsbehörde vorzulegen, die 
diesen einschließlich ihres V otums an den als „Clearing- 
stelle“ agierenden Berliner Be auftragten für Datenschutz 
und Akteneinsicht weiterleitet. V on diesem werden die an- 
deren obersten Datenschutzauf Sichtsbehörden unterrichtet. 
Falls keine Einwände geäußert werden, kann die zuständige 
Aufsichtsbehörde nach ihrem Votum entscheiden. Anderen- 
falls wird der Sachverhalt in der entsprechenden Arbeits- 


gruppe des Düsseldorfer Kreises besprochen und, falls 
nötig, dem Plenum vor gelegt. Die zuständige Aufsichts- 
behörde entscheidet dann eigenverantwortlich unter Be- 
rücksichtigung des in der Ar beitsgruppe bzw. im Plenum 
des Düsseldorfer Kreises gefundenen Ergebnisses. 

Die Verwendung von Standardvertragsklauseln mit ausrei- 
chenden Schutzgarantien könnte zu einer wesentlichen Er- 
leichterung für das aufsichtsbehördliche Genehmigungsver- 
fahren - wie auch für die beteiligten V ertragsparteien - 
beitragen. Die Anerkennung bestimmter Standardvertrags- 
klauseln als ausreichende Garantien ist nach Artikel 26 
Abs. 4 i. V. m. Abs. 2 der EG -Datenschutzrichtlinie der Eu- 
ropäischen Kommission vorbe halten. Eine entsprechende 
Entscheidung erließ die Europäische Kommission am 
15. Juni 2001 (http://europa.eu.int/comm/intemal_market/en/ 
dataprot/news/1539de.pdf). Die unter wesentlicher Beteili- 
gung der Gruppe nach Artikel 29 der EG-Datenschutzricht- 
linie erarbeiteten Standardvertragsklauseln enthalten recht- 
lich durchsetzbare V erpflichtungserklärungen und darauf 
gegründete Garantien des Datenexporteurs und des Daten- 
importeurs. Der Vertrag wirkt zugunsten der Betroffenen, die 
mithin eigene Rechte aus der \fereinbarung geltend machen 
können. Die europäischen St andardvertragsklauseln ent- 
halten ferner Verpflichtungen der Vertragsparteien zu ge- 
samtschuldnerischer Haftung und zum Ausschluss der 
Kündigung der eingegangenen Verpflichtungen. Eine 
weitere, seit dem 3. April 2002 geltende Kommissionsent- 
scheidung (http://www.datenschutz-berlin.de/doc/eu/kom- 
mission/standard27 1201. pdf) befasst sich mit Standardver- 
tragsklauseln im Rahmen der Auftragsdatenverarbeitung. 

Neben allgemeinen Vertragsklauseln nennt das BDSG in 
§ 4c Abs. 2 auch verbindliche Untemehmensregelungen als 
Mittel zur Begründung ausreichender Garantien. Untemeh- 
mensregelungen sind für international operierende Unter- 
nehmen wesentlich leichter zu handhaben und passen besser 
zu ihrer Struktur als V ertragsklauseln. Mehrere internatio- 
nale Unternehmen haben diesen Weg eingeschlagen und ste- 
hen mit den deutschen Datenschutzaufsichtsbehörden in en- 
gem Kontakt, um sich über den Inhalt ihrer Regelungen und 
das Verfahren ihrer Einführung zu verständigen. Zwischen 
den Beteiligten besteht Übereinstimmung, dass der wirksa- 
men praktischen Durchsetzung hierbei die größte Bedeu- 
tung zukommt und dass Konzemdatenschutzbeauftragten 
dabei eine Schlüsselstellung zukommt. 

3.2.5 Behördliche Datenschutzbeauftragte 
in der Bundesverwaltung 

Seit dem In-Kraft-T reten des novellierten BDSG am 
23. Mai 2001 sind alle Behörden im Anwendungsbereich 
des Gesetzes zur Bestehung eines behördlichen Beauftrag- 
ten für den Datenschutz verpflic htet. Je nach Struktur der 
öffentlichen Stehe genügt auch die Bestellung eines Beauf- 
tragten für mehrere Bereiche. Im August 2002 habe ich mir 
mit einer Umfrage (s. Anlage 26) für den Bereich der Bun- 
desverwaltung einen ersten Überblick über die Umsetzung 
dieser Regelung verschaf ft. Bis auf das BMI haben alle 
Obersten Bundesbehörden für ihren eigenen Bereich sowie 
- soweit vorhanden - den Geschäftsbereich geantwortet. 

Das BMI teilte mit, dass dort eine Neugestaltung der Funk- 
tion des Datenschutzbeauftragten auch im Zusammenhang 
mit einem Personalwechsel geplant sei. Erst nach dieser 
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Neuorganisation solle die Beantwortung der Fragen für das 
BMI und den nachgeordneten Bereich erfolgen. Ich begrüße 
sehr, dass das Amt des Datenschutzbeauftragten im BMI ge- 
stärkt werden soll. Anderthalb Jahre nach In-Kraft-T reten 
der Neuregelungen im BDSG muss aber eine zügige Umset- 
zung erwartet werden, insbesondere dort, wo noch Nachbes- 
serungsbedarf besteht. 

Als Ergebnis der Umfrage ist festzuhalten, dass alle Obers- 
ten Bundesbehörden entsprechend der gesetzlichen V er- 
pflichtung Datenschutzbeauftragte bestellt und dies auch 
ihren Beschäftigten bekannt gegeben haben. Ganz überwie- 
gend gilt dies auch für die nachgeordneten Geschäftsberei- 
che, wo nur in Ausnahmefällen die Umfrage erst den An- 
stoß gegeben hat, Datenschutzbeauftragte zu bestellen und 
die dazu erforderlichen or ganisatorischen Begleitmaßnah- 
men vorzunehmen. Während der jeweilige Datenschutz- 
beauftragte als Ansprechpartner in den V erwaltungen den 
Beschäftigten benannt wurde, ergab sich noch ein Nachhol- 
bedarf für die Bekanntmachung gegenüber dem Bür ger. 
Denn nach dem Gesetz ist der Datenschutzbeauftragte auch 
für diese Ansprechpartner und hat sich für die Wahiung von 
deren Datenschutzrechten in den Behörden einzusetzen. 
Seine Aufgabe ist unter anderem, über die so genannten 
Verfahrensverzeichnisse der V erwaltungen für die Bür ger 
Transparenz in der Datenverarbeitung zu schaf fen. ln den 
allgegenwärtigen Internetpräsentationen der Behörden und 
den Bestrebungen zum eGovemment sollte daher auch der 
Datenschutzbeauftragte als Ansprechpartner für die Bür ger 
deutlich herausgestellt werden. 

Die Umfrage hat weiter er geben, dass bis auf wenige Aus- 
nahmen die Datenschutzbeauftragten ihr Amt nicht haupt- 
amtlich wahrnehmen und mit ihnen in der Regel auch keine 
Vereinbarung über eine Entlastung von anderen Aufgaben 
getroffen worden ist. Anders als etwa bei der Gleichstel- 
lungsbeauftragten schreibt auch das Gesetz keine Freistel- 
lungen fest. Die wirkungsvolle W ahmehmung der gesetz- 
lichen Aufgaben wird aber in der Zukunft ganz 
entscheidend davon abhängig sein, ob ihnen trotz knapper 
Personalressourcen genügend Entlastung eingeräumt wird, 
um ihr Amt auch ausfüllen zu können. 

Um einen fruchtbaren Erfahrungsaustausch zwischen den 
Datenschutzbeauftragten in de n Ressorts zu erreichen und 
Gelegenheit zu bieten, Rech tsfragen und praktische Pro- 
bleme gemeinsam zu erörtern, habe ich einen regelmäßig 
zusammenkommenden Gesprächskreis mit den Daten- 
schutzbeauftragten der Obersten Bundesbehörden einge- 
richtet. Beginnend im September 2001 fand dieser Aus- 
tausch inzwischen zweimal statt. Er wurde mit jeweils ca. 

30 Teilnehmern aus praktisch allen Obersten Bundesbehör- 
den gut angenommen. Nachdem es zunächst schwerpunkt- 
mäßig um die Einführung der neu bestellten Datenschutzbe- 
auftragten in das novelliert e BDSG und ihre neugestaltete 
Aufgabenstellung ging, er gaben sich im Folgenden eine 
Vielzahl praktischer Fragestellungen etwa über die Gestal- 
tung der neuen Verfahrensverzeichnisse, die Videoüberwa- 
chung bis hin zur Erörterung datenschutzrechtlicher As- 
pekte der eGovernment Initiative BundOnline 2005. 

Der Erfahrungsaustausch bietet ein gutes Forum, daten- 
schutzrechtliche Beratung durch mein Haus einzuholen, und 
zugleich einen Anstoß für die bereits in Gang gekommene 
Kommunikation zwischen den Datenschutzbeauftragten der 


Obersten Bundesbehörden. Ich würde es begrüßen, wenn in- 
nerhalb der Geschäftsbereiche der Ressorts die Zusammen- 
arbeit zwischen den Datensc hutzbeauftragten der einzelnen 
Behörden in ähnlicher Weise gefördert werden könnte. 

3.3 In Vorbereitung: Die zweite Stufe 
der Datenschutzreform 

Wie ich in meinem letzten Tätigkeitsbericht schon dar ge- 
steht habe (18. TB Nr . 2.1 .4), hat die Bundesregierung be- 
reits lange vor In-Kraft-Treten der aktuellen BDSG-Novelle 
die Absicht erklärt, in einer zweiten Stufe der Novellierung 
eine umfassende Neukonzeption des BDSG zu verabschie- 
den. Zur V erwirklichung dieses Zieles, das nach der ur- 
sprünglichen Planung noch innerhalb der 14. Legislatur- 
periode erreicht werden soll te, hat das Bundesministerium 
des Innern ein großangelegtes Gutachten zur „Modernisie- 
rung des Datenschutzrechts“ bei drei renommierten Fach- 
leuten aus den Bereichen Da tenschutzrecht und Informatik 
in Auftrag gegeben, das auf eine Initiative aus dem parla- 
mentarischen Raum hin durch eine Begleitkommission aus 
namhaften Sachverständigen in enger Abstimmung mit den 
Gutachtern unterstützt werden sollte, ln dieser Kommission, 
die in zwei Sitzungen im Januar und Juni 2001 zunächst das 
Gutachtendesign und dann einen Diskussionsentwurf des 
Gutachtens eingehend erörtert hat, habe ich mitgearbeitet. 
Auch die Datenschutzbeauftragten der Länder hatten im 
April 2001 in einem W orkshop mit den Gutachtern Gele- 
genheit, deren V orstellungen eingehend zu diskutieren, in 
einer emvernehmlichen Stellungnahme zu bewerten und 
eigene Vorschläge einzubringen. Auch hieran war ich betei- 
ligt. 

Das sehr umfangreiche Gutachten ist dann am 12. Novem- 
ber 2001 offiziell übergeben und der Öffentlichkeit vorge- 
steht worden. Es enthält eine umfassende und tief gehende 
Analyse des Modemisierungsbedarfs im Datenschutzrecht, 
zeigt die Richtung für eine grundlegende Reform auf und 
kommt zu einer Fülle von Anregungen und \brschlägen, die 
bei ihrer Verwirklichung zu einer deutlichen Änderung von 
Recht und Praxis beim Datenschutz in der Bundesrepublik 
Deutschland führen würden. 

Besonders hervorheben möchte ich den V orschlag, das Da- 
tenschutzrecht insgesamt zu vereinfachen. Damit ist nicht 
nur eine verständliche Sprache und eine übersichtliche Glie- 
derung gemeint, was für sich schon ein lohnendes Ziel wäre, 
sondern der Versuch, die Flut der spezialgesetzlichen Be- 
stimmungen einzudämmen und das moderne Datenschutz- 
recht auf ein allgemeines Gesetz zu gründen, das nur in 
erforderlichem Umfang durch bereichsspezifische Regelun- 
gen ergänzt wird. Es soll grundsätzliche und präzise V or- 
schriften zur Verarbeitung personenbezogener Daten enthal- 
ten und möglichst of fene Abwägungsklauseln vermeiden. 
Darüber hinaus soll es allgemeine Regelungen zur T echnik- 
gestaltung, zur Datensicherheit, zur Datenschutzor ganisa- 
tion, zur Kontrolle und zur Selbstregulierung vorsehen. Spe- 
zialgesetzliche Regelungen sollen also auf das unabdingbar 
Notwendige beschränkt werden und nur noch die „Aus- 
nahme von den allgemeinen Re gelungen enthalten und nur 
für bestimmte riskante Datenverarbeitungen die Anforde- 
rungen verschärfen oder bei unterdurchschnittlich riskanten 
Datenverarbeitungen Erleichterungen bieten“. Auch T ele- 
kommunikations- und Teledienstedatenschutz sollen in das 
BDSG integriert werden. 
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Ein weiterer wichtiger Punkt des Gutachtens ist nach meiner 
Einschätzung die Stärkung de r Selbstbestimmung. Überall 
dort, wo nicht auszuschließen ist, dass die Belange des Be- 
troffenen beeinträchtigt werden könnten, und wo nicht im 
öffentlichen Bereich zwingende Gründe der staatlichen Auf- 
gabenerfüllung vorliegen, soll der Betrof fene - ganz im 
Sinne des Bundesverfassungsgerichts - selbst entscheiden 
können. Seine Einwilligung ist grundsätzlich für die V erar- 
beitung seiner personenbezogenen Daten erforderlich, also 
eine so genannte Opt-in-Lösung, wobei natürlich Ausnah- 
men möglich bleiben sollen, wenn auch in geringerem Um- 
fang als nach geltendem Recht. Unterstützt soll dies werden 
durch eine noch bessere Zweckbindung und durch Stärkung 
der Betroffenenrechte wie Auskunft und Benachrichtigung. 
Auch die Überlegungen der Guta chter zur gesellschaftli- 
chen Selbstregulierung und zum Datenschutz durch Technik 
halte ich für besonders zukunf tsrelevant. Das ursprünglich 
verfolgte, sicherlich sehr ehr geizige Ziel, noch in der 

14. Legislaturperiode auf der Grundlage des Gutachtens zu- 
mindest einen Gesetzentwurf oder Eckpunkte hierfür vorzu- 
legen, konnte nicht erreicht werden. Dies ist sicherlich auch 
darauf zurückzuführen, dass die Überlegungen der Gutach- 
ter einen sehr grundlegenden Ansatz haben, der weniger auf 
Einzelregelungen im BDSG als auf eine grundsätzliche Um- 
steuerung abzielt. Die Umsetzung dieser neuen Prinzipien 
und Strukturen in dem bereits sehr umfangreich kodifizier- 
ten Datenschutzrecht wird deswegen nicht leicht sein. Erfor- 
derlich ist weiter eine Einpassung des Vorhabens in den eu- 
ropäischen Rahmen. 

Der Deutsche Bundestag hat aber sowohl in seiner Ent- 
schließung zu meinem 18. Tätigkeitsbericht (Bundestags- 
drucksache 14/9490 Nr. 2) als auch in seinem Beschluss 
„Umfassende Modernisierung des Datenschutzrechtes vor- 
anbringen“ (Bundestagsdrucksache 14/9709) die Erwar- 
tung zum Ausdruck gebracht, dass die Bundesregierung zü- 
gig einen Gesetzentwurf zur grundlegenden Modernisierung 
des Bundesdatenschutzgesetzes erarbeitet. Die Bundesre- 
gierung hat ihrerseits in der Koalitionsvereinbarung für die 

15. Legislaturperiode eine entsprechende Absicht bekundet. 
Ich bin deswegen sicher , dass die Arbeiten an der zweiten 
Stufe der BDSG-Novellierung fortgesetzt werden, und 
werde diese beratend begleiten. 

3.4 Informationsfreiheitsgesetz 

Der freie und voraussetzungslose Zugang jeden Bürgers zu 
den bei der Verwaltung vorhandenen Akten, Unterlagen und 
Informationen wird zunehmend als wichtige V oraussetzung 
für die Teilhabe am demokratischen Prozess und die Kon- 
trolle der Staatsverwaltung angesehen. Deswegen haben be- 
reits — teilweise seit langem — viele demokratisch verfasste 
Staaten, die Europäische Union und innerhalb der Bundes- 
republik Deutschland die Länder Berlin, Brandenbur g, 
Schleswig-Holstein und Nordrhein-W estfalen entspre- 
chende gesetzliche Regelungen. Dem stehen aus Sicht des 
Datenschutzes, der selbst auf den Prinzipien der T ranspa- 
renz und freien Selbstbestimmung des Bür gers fußt, keine 
grundlegenden Bedenken entgegen, wenn die Privatsphäre 
der Betroffenen sowie Betriebs geheimnisse gesetzlich ge- 
schützt bleiben und die anzuwendenden Regelungen ent- 
sprechende Schutzmechanismen enthalten. Dies hat die 
Konferenz der Datenschutzbeauftragten des Bundes und der 


Länder in einer Entschließung vom März 2001 (Anlage 9) 
noch einmal bekräftigt. 

Im Berichtszeitraum hat es auch auf Bundesebene Bemü- 
hungen gegeben, eine gesetzliche Grundlage für den freien 
Zugang des Bürgers zu den Informationen der Bundesbe- 
hörden zu schaf fen. Bereits in der Koalitionsvereinbarung 
für die 14. Legislaturperiode vom 20. Oktober 1998 war 
vereinbart worden, ein Infonnationsfreiheitsgesetz vorzule- 
gen. Im Jahr 2001 wurde dann vom federführend zuständi- 
gen BMI ein Gesetzentwurf im Internet veröf fentlicht, der 
sich in einer Reihe von V orschriften um ein ausgewogenes 
Verhältnis zwischen Informationszugang einerseits und 
Schutz personenbezogener Daten und von Betriebsgeheim- 
nissen andererseits bemühte und - vergleichbar mit den be- 
reits geltenden Landesgesetzen — das Amt eines Bundesbe- 
auftragten für Informationsfreiheit vorsah, das von mir 
neben meiner Funktion als Bundesbeauftragter für den Da- 
tenschutz wahrgenommen werden sollte. Zu einer abschlie- 
ßenden Abstimmung dieses Entwurfs innerhalb der Bundes- 
regierung ist es dann aber in der letzten Legislaturperiode 
nicht mehr gekommen. Die Bundesregierung beabsichtigt 
jedoch entsprechend der Koalitionsvereinbarung für die lau- 
fende Legislaturperiode weite rhin, ein Informationsfrei- 
heitsgesetz vorzulegen. 

Bei den Beratungen über den Gesetzentwurf war ich in den 
vergangenen Jahren beteiligt und habe dabei mit meinen 
Vorschlägen zu einem ausgewogenen V erhältnis zwischen 
Informationsfreiheit und Datenschutz beitragen können. Ich 
werde auch die neuen Bemühungen um ein Informations- 
freiheitsgesetz aufmerksam begleiten. 

3.5 Verbraucherinformationsgesetz 

Als Konsequenz aus einer in der Öffentlichkeit und den Me- 
dien engagiert geführten Debatte um den Schutz der V er- 
braucher hat das Bundesministerium für Verbraucherschutz, 
Ernährung und Landwirtschaft im Januar 2002 einen ersten 
Entwurf eines V erbraucherinformationsgesetzes vorgelegt, 
mit dem den Verbrauchern Zugang zu den bei den Behörden 
des Bundes, der Länder und der Gemeinden vorhandenen 
Informationen über Lebensmittel und Bedarfsgegenstände 
eröffnet und zugleich geregelt werden sollte, unter welchen 
Voraussetzungen Behörden die Öffentlichkeit über marktre- 
levante Vorkommnisse unterrichten können. Im Zuge der 
Erörterungen wurde auch die Frage aufgebracht, ob nicht 
durch die Einsetzung eines Beauftragten für V erbraucherin- 
formation ein Instrument geschaffen werden könnte, das der 
interessierte Verbraucher bei W iderständen und Hindernis- 
sen in Behörden im V orfeld einschalten kann, ohne gleich 
den Verwaltungsrechtsweg beschreiten zu müssen. Für die 
Bundesverwaltung wurde hierfür parallel zu Überlegungen 
im Bereich der Informationsfreiheit an den Bundesbeauf- 
tragten für den Datenschutz gedacht. Meinerseits bestanden 
und bestehen gegen die Übernahme einer solchen neuen 
Aufgabe keine Bedenken, wenn der Gesetzgeber dies 
wünscht und die neue Funktion mit meiner Unabhängigkeit 
und bisherigen Aufgabenstellung und Arbeitsweise verein- 
bar ist. Der dem Deutschen Bundestag zugeleitete Gesetzent- 
wurf vom 8. April 2002 (Bun destagsdrucksache 14/8738) 
sah dann in § 8 vor, dass jedermann den Bundesbeauftragten 
für den Zugang zu Verbraucherinformationen anrufen kann, 
soweit Bundesbehörden betroffen sind und er sich in seinem 
Recht auf freien Zugang zu Infonnationen im Sinne des 
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Gesetzes verletzt fühlt. Die Aufgabe sollte von mir wahr ge- 
nommen werden, wobei die Ausgestaltung dieser Funktion 
sich nach den entsprechenden V orschriften des Bundes- 
datenschutzgesetzes und des Entwurfs eines Infonnations- 
freiheitsgesetzes richtete. Die Länder sollten Einrichtung 
und Aufgaben eines Beauftragten für den Zugang zu V er- 
braucherinfonnationen für ihren Bereich regeln. 

Nachdem der Deutsche Bundestag das Verbraucherinfonna- 
tionsgesetz am 17. Mai 2002 verabschiedet hatte, versagte 
der Bundesrat am 2 1 . Juni 2002 seine erforderliche Zustim- 
mung. 

ln der Koalitionsvereinbarung für die laufende Legislatur- 
periode vom 16. Oktober 2002 ist im V. Abschnitt vorgese- 
hen, mit einem Verbraucherinformationsgesetz die Informa- 
tionsrechte der V erbraucher gegenüber Behörden und 
Anbietern nachhaltig zu verbes sem. Es bleibt abzuwarten, 
ob in diesem Zusammenhang an dem Gedanken festgehal- 
ten wird, mir das Amt eines Beauftragten für den Zugang zu 
Verbraucherinfonnationen zu übertragen. 

3.6 Europäische Harmonisierung 
in der Praxis 

Das wichtigste Forum zur Ha rmonisierung der Datenschutz- 
praxis in den Mitgliedsstaaten der Europäischen Union ist 
nach wie vor die Gruppe nach Artikel 29 der EG-Daten- 
schutzrichtlinie. Ihre Arbeit wurde im Berichtszeitraum inten- 
siviert, was sich sowohl an der Intensität der Sitzungen — pro 
Jahr fünf zweitägige Sitzunge n der Gruppe und je drei bis 
vier Sitzungen der vier bis f ünf Fach- Arbeitsgruppen - als 
auch an Quantität und Qualität der Ergebnisse zeigt. Im Jahr 
2001 wurden 14 Papiere, im Jahr 2002 zwölf Papiere verab- 
schiedet. Der Themenkreis ist weit gespannt: Er umfasst zu- 
nächst infonnative bis analytis che Papiere, wie die jährli- 
chen Berichte über die Entwicklung in der Gemeinschaft, 
den Mitgliedsstaaten und Dritt Staaten, oder eine Untersu- 
chung über Erscheinungsformen und Probleme schwarzer 
Listen. Ferner betraf er rechtliche Ausarbeitungen, etwa zum 
adäquaten Schutzniveau in Drittstaaten, zu Mustervertrags- 
klauseln für Drittlandsübermittlungen oder zur Anwendbar- 
keit der Datenschutzgesetze der Mitgliedsstaaten auf inter- 
nationale Datenverarbeitungen im Internet. W eiter ging es 
um Positionen zu den Problemen bestimmter Sektoren, wie 
dem Arbeitnehmerdatenschutz in Zeiten zunehmender Über- 
wachung und zu international abgestimmten Methoden zur 
Bekämpfung der Cyber-Kriminalität, bis hin zu den aktuel- 
len internationalen Problemen im Gefolge des 11 . September 
2001, etwa auf dem Gebiet der Luftfahrt (Zusammenstellung 
der von der Arbeitsgruppe angenommenen Dokumente s. 
Anlage 8). Ständige Arbeitsgruppen bestehen zurzeit zu den 
Themen Internet, Mustervertragsklauseln, internationale 
Verhaltensregelungen und Arbeitnehmerdatenschutz. 

Die Arbeitsgruppe hat beschl ossen, die T ransparenz ihrer 
Arbeit gegenüber der europäischen Öf fentlichkeit zu ver- 
bessern. Zu diesem Zweck soll ein fortzuschreibender Ar- 
beitsplan mit den aktuellen Th emen ins Internet gestellt 
werden. Außerdem soll intere ssierten Personen und Stellen 
die Gelegenheit gegeben werden, sich im Rahmen einer In- 
ternetkonsultation zu Entwürfen der Arbeitsgruppe zu äu- 
ßern, bevor diese abschließend beraten und angenommen 
werden. Für Anfang 2003 ist eine erste derartige Konsulta- 
tion zu einem Papier zur Videoüberwachung geplant. 


3.7 Zwischenbilanz zum Safe Harbor 

Anfang 2002 hat die EU-Kommission eine erste bewertende 
Bestandsaufnahme des Safe-Harbor -Arrangements zwi- 
schen der Europäischen Gemeinschaft und den V ereinigten 
Staaten von Amerika vorgenommen (vgl. 18. TB Nr. 2.2.2). 
Sie entsprach damit einem Anliegen des Europäischen Par- 
laments und der Datenschutzbeauftragten der Mitgliedsstaa- 
ten. Probleme wurden vor allem in zweierlei Hinsicht fest- 
gestellt: 

Zum einen lässt die Resonanz innerhalb der amerikanischen 
Wirtschaft zu wünschen übrig. Auch zum Jahresende 2002 
lag die Anzahl der dem Safe Harbor beigetretenen Unter- 
nehmen nur knapp über 300. So erfr eulich es einerseits ist, 
dass die Großen der amerikanischen IT -Industrie fast ge- 
schlossen beigetreten sind, so deutlich ist das Zögern in den 
anderen Wirtschaftsbereichen. Immerhin sind aus mehreren 
Wirtschaftsbranchen einzelne Großunternehmen beigetre- 
ten, so etwa eine Hotelkette, ein Mischkonzem, ein W irt- 
schaftsinformationsdienstleister und ein Automobilherstel- 
ler (US-Tochter eines deutschen Unternehmens). Dies 
deutet daraufhin, dass die Anforderungen des Safe Harbor 
grundsätzlich annehmbar sind und dass daher die Aussicht 
besteht, dass der Safe Harbor künftig wesentlich mehr Zu- 
lauf erhält. Damit wäre w ohl insbesondere zu rechnen, 
wenn die Datenschutzaufsichtsbehörden in den Europäi- 
schen Mitgliedsstaaten die Zurückhaltung, um die sie von 
amerikanischer Seite während der Anfangszeit gebeten wor- 
den waren, aufgäben und ihre Aufmerksamkeit stärker auf 
den Datenaustausch mit amerikanischen Unternehmen wen- 
deten, die dem Safe Harbor nicht beigetreten sind. 

Zum anderen hat die Kommission auf der Grundlage einer 
Studie hinsichtlich der Umsetzung der Anforderungen des 
Safe Harbor in den beigetretenen amerikanischen Unterneh- 
men festgestellt, dass vor allem bei der Transparenz verbrei- 
tete Defizite bestehen. Bei vielen dieser Unternehmen kann 
der Bürger nur feststellen, dass sie dem Safe Harbor ange- 
hören, aber nicht, welche Rechte ihm daraus erwachsen und 
in welcher Weise er sie geltend machen kann. V iele Unter- 
nehmen geben zwar ihre privacy policy auf ihrer Intemet- 
seite bekannt, berücksichtigen dabei aber nicht die besonde- 
ren Anforderungen des Safe Harbor . Die Federal T rade 
Commission hat in diesem Zusammenhang versichert, dass 
sie ungeachtet dieser Mängel gegen ein Unternehmen Vor- 
gehen kann, das die Safe-Harbor-Regeln nicht beachtet. Un- 
abhängig davon hat die amerikanische Seite zugesagt, auf 
mehr „visible compliance“ hinzuwirken. 

Als positiv kann bewertet werden, dass bisher keine Be- 
schwerdefälle bekannt geworden sind, die nicht von den be- 
troffenen Unternehmen zur Zufriedenheit der Betrof fenen 
beigelegt wurden. 

3.8 Bestellung des Europäischen 
Datenschutzbeauftragten überfällig 

Die Einrichtung des Europäischen Datenschutzbeauftragten 
hat sich weiterhin verzögert . Erst im Juli 2002 gelang es 
dem Europäischen Parlament, dem Rat und der Kommis- 
sion, sich auf die notwendigen Regelungen zum Emen- 
nungsverfahren, zum Sitz und zu den dienstrechtlichen Ver- 
hältnissen des Europäischen Datenschutzbeauftragten zu 
einigen und damit die in der Datenschutzverordnung zu- 
nächst offen gelassenen Fragen zu beantworten (vgl. 18. TB 
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Nr. 2.3). Ergänzend zum Er nennungsverfahren (Vorschlag 
einer Kandidatenliste aufgrund öf fentlicher Ausschreibung 
durch die Kommission, gemeinsame Entscheidung über den 
Datenschutzbeauftragten und seinen Stellvertreter durch 
Europäisches Parlament und Rat) sieht die Regelung eine 
Veröffentlichung der Bewerberliste vor (die inzwischen er- 
folgt ist) und ermöglicht eine Anhörung der Kandidaten 
durch das Europäische Parlament. Mit der Bestellung des 
Europäischen Datenschutzbeauftragten wird im ersten 
Halbjahr 2003 gerechnet. 

3.9 Die Konferenz der Datenschutz- 
beauftragten der Europäischen Union 

Die Frühjahrskonferenz der unabhängigen europäischen 
Datenschutzbehörden vom 9. bis 11. Mai 2001 in Athen hat 
ihre auf der Vorkonferenz in Stockholm (vgl. 18 TB Nr. 2.5) 
gefasste Entschließung zur Aufbewahrung von V erkehrsda- 
ten durch Internet Service Provider (Retention of traffic data 
bei Internet Service Providers, s. Anlage 6) bekräftigt. Darin 
äußern die Datenschutzbeauftr agten erneut ihre nachhalti- 
gen Bedenken gegenüber V orhaben, nach denen Provider 
Verkehrsdaten routinemäßig über die Zwecke der Abrech- 
nung hinaus für Möglichkeiten behördlicher Rechtsverfol- 
gung aufbewahren sollen. 

Die Konferenz von Athen befasste sich außerdem mit aktuel- 
len Fragen zur Kriminalität im Cyberspace, zur Telekommu- 
nikation, zum Internet und zum E-Commerce. Bei dem 
Thema „Einwilligung als Rech tsgrundlage der Datenverar- 
beitung“ standen die Gefahren einer Kommerzialisierbarkeit 
der Einwilligungserteilung im Mittelpunkt des Interesses. Ne- 
ben Fragen des Arbeitnehmerdatenschutzes bildeten Erschei- 
nungsformen und rechtliche Einordnung „Schwarzer Listen“ 
in den Bereichen Kreditinfo rmation, Versicherungswesen, 
Femmeldeverkehr und in Mietrechtsangelegenheiten weitere 
Beratungsschwerpunkte. 

Im Lichte der durch die Europäische Grundrechtecharta er- 
neut bestätigten Grundrechts qualität des Datenschutzes 
(vgl. 18. TB Nr. 2.4) verabschiedete die Konferenz eine 
weitere Entschließung, in der sie das „Europäische Modell“ 
eines grundrechtlich verankerten Datenschutzes begrüßt 
und ihn als wesentlichen Bestandteil einer „E-Citizenship“ 
versteht. Dieses europäische Datenschutzmodell soll als 
Richtschnur für alle Einrichtungen der Europäischen Union 
bei der Überprüfung des gege nwärtigen Rechtszustandes, 
bei der Ausarbeitung neuer Regelungen sowie in der Ausge- 
staltung des Verhältnisses zu Drittländern dienen (Declara- 
tion on Article 8 of the EU Charter of Fundamental Rights, 
s. Anlage 7). 

Zur Frühjahrskonferenz am 25. und 26. April 2002 konnte 
ich die Datenschutzbeauftragten der EU-Mitgliedsstaaten 
und des Europäischen W irtschaftsraumes (Norwegen, Is- 
land), der Beitrittskandidaten Polen, Tschechische Republik 
und Ungarn sowie die der Schweiz und der Kanalinsel 
Guemsey in Bonn begrüßen. Den wichtigsten Beratungsge- 
genstand bildeten die Erfahrungen nach den Terroranschlägen 
in den USA vom 1 1. September 2001, wobei insbesondere 
die unterschiedlichen Reaktionen in den T eilnehmerstaaten 
— zum Handeln sah sich einerseits der Gesetzgeber u. a. in 
Griechenland, Großbritannien, Italien, Schweden und 
Deutschland veranlasst, als au sreichend wurde andererseits 
die Gesetzeslage in Frankreich, den Niederlanden und Por- 


tugal angesehen - und ihre da tenschutzrechtlichen Auswir- 
kungen erörtert wurden. Aus der V ielzahl weiterer behan- 
delter Themen sind die Fragen zur Auditierung und 
Zertifizierung von Konzepten für besseren Datenschutz und 
Datensicherheit hervorzuheben sowie die Vorträge und Dis- 
kussionen über Verfahren biometrischer Identifizierung. Zu 
letzterem Thema bestand Konsens dahin gehend, dass bio- 
metrische Daten vorrangig auf der Grundlage freiwilliger 
Entscheidungen der Betrof fenen verwendet werden sollen 
und stets der Grundsatz der V erhältnismäßigkeit zu beach- 
ten ist. 

3.10 Die Umsetzung der Datenschutzricht- 
linie 95/46/EG in den Mitgliedsstaaten 
der Europäischen Union 

Die Kommission hat mit der Erarbeitung des Berichts über 
die Durchführung der EG-Datenschutzrichtlinie begonnen, 
den sie dem Europäischen Parlament und dem Rat binnen 
drei Jahren nach Ablauf de r Umsetzungsfrist (1998) zu er- 
statten hat (Artikel 33 Abs. 1). Die Ausgangslage ist inso- 
fern schwierig, als viele Mitgliedsstaaten die Richtlinie nur 
mit erheblicher Fristüberschreitung umgesetzt haben und 
zwei Mitgliedsstaaten auch zum Jahresende 2002 noch kei- 
nen Vollzug melden konnten (Frankreich, Irland). 

Zur Vorbereitung des Berichts hat die Kommission nicht nur 
bei den Regierungen und den Datenschutzbehörden der Mit- 
gliedsstaaten mittels umfangrei eher Fragenkataloge Infor- 
mationen zusammengetragen, sondern darüber hinaus eine 
große Intemetkonsultation durchgeführt, die sich - mit un- 
terschiedlichen Themenschwerpunkten - einerseits an da- 
tenverarbeitende Stellen, also an Unternehmen, V erbände 
und sonstige Organisationen, wendete, andererseits an Be- 
troffene, also an Individuen, Bür gerrechts- und V erbrau- 
cherschutzorganisationen und vergleichbare Einrichtungen. 
Die Umfragen zeigten - auch bei den datenverarbeitenden 
Stellen - eine außerordentlich positive Einstellung zum Da- 
tenschutz. Es wird ein strenger Datenschutz gefordert und 
die geltenden Regelungen werden grundsätzlich akzeptiert, 
wobei die Betroffenen den bestehenden Schutz nur als das 
notwendige Minimum betrachte n. Kritisiert werden aller- 
dings die immer noch erheblichen Unterschiede zwischen 
den Mitgliedsstaaten und es wird eine stärkere Beratung 
durch die Datenschutzbehörden gewünscht. 

Sowohl bei den datenverarbei tenden Stellen als auch bei 
den Betroffenen kamen fast die Hälfte der Antworten aus 
Deutschland. Auch unter Berücksichtigung der unterschied- 
lichen Bevölkerungszahlen kann dies als Bestätigung für die 
wichtige Rolle Deutschlands im europäischen Datenschutz 
gewertet werden. 

Im Herbst 2002 hat die Kommission eine zweitägige inter- 
nationale Konferenz mit Interessenvertretern und Experten 
auch aus den USA und anderen Drittländern durchgeführt, 
ln einer Reihe von Arbeitskreisen bestand die Gelegenheit 
zur vertieften Diskussion wichtiger Konzepte und Anwen- 
dungsgebiete der Richtlinie. Das Interesse war unerwartet 
groß. Die Kommission hatte 400 Teilnehmer eingeplant und 
musste ebenso vielen Interessenten absagen. Kommissar 
Bolkestein konnte zum Abschluss der Konferenz feststellen, 
dass die Richtlinie bei aller Diskussion zu vielen Einzelfra- 
gen von niemandem als unpraktikabel oder ungeeignet be- 
zeichnet wurde. Die Überlegungen der Kommission zielten 
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gegenwärtig weniger in Rieh tung auf eine Änderung der 
Richtlinie als vielmehr au f deren verbesserte Anwendung. 
Als relevante Punkte nannte er dabei die V ereinfachung des 
Meldeverfahrens, die weitere Angleichung zwischen den 
Mitgliedsstaaten, verstärkte Anstrengungen im Bereich der 
Privacy Enhancing Technologies, mehr Flexibilität bei der 
Drittlandsübermittlung und eine stärkere Rolle der Selbstre- 
gulierung. 

Im Hinblick auf die noch begrenzten Anwendungserfahrun- 
gen ist diese Position der Kommission durchaus nachvoll- 
ziehbar. Auf der anderen Seite bin ich überzeugt, dass die in 
Deutschland teilweise vollzogene, teilweise geplante Mo- 
dernisierung des Datenschutze s auch auf der europäischen 
Ebene ihre Entsprechung finden muss. Bei manchen The- 
men kann dies ohne Novellier ung der Richtlinie gelingen. 
So zeigte der Arbeitskreis „Bild- und T onverarbeitung“, 
dass mehrere Mitgliedsstaaten auch ohne Gesetzesänderung 
zu einer Handhabung gelangt sind, die der im neuen § 6b 
BDSG vorgeschriebenen weitgehend entspricht. Grundsätz- 
lich sollte die Kommission ab er eine Novellierung nicht 
ausschließen, wenn die sachliche Notwendigkeit evident ist 
und für eine umfassende und z ügige freiwillige Koordina- 
tion der Mitgliedsstaaten nur geringe Aussichten bestehen. 

4 Technologischer Datenschutz 

4.1 Neue Regelungen im BDSG: 

Videoüberwachung 

4.1.1 Grundsätzliches 

Ich habe es sehr begrüßt, dass der Gesetzgeber mit den 
neuen Regelungen des § 6b BD SG endlich klare Rechts- 
normen für die Videoüberwachung geschaffen hat (s. o. Nr. 
3.2.2). Zweifellos hat sich hiermit die Rechtsposition der 
betroffenen Bürgerinnen und Bürger verbessert. Neben den 
rechtlichen gibt es aber auch technische und psychologische 
Aspekte zu beachten. Die Aufstellung neuer V ideokameras 
im öffentlichen Raum führt immer wieder zu — häufig kon- 
troversen - Diskussionen in der Öf fentlichkeit und in den 
Medien und die verunsicherten Bür ger fragen, ob das denn 
sein muss, was eigentlich aufgezeichnet wird und was damit 
geschieht. 

Unabhängig von einer datenschutzrechtlichen Bewertung 
zeigt sich damit vielfach ei n gravierendes Versäumnis der 
verantwortlichen Stelle: Seit Jahren weise ich immer wieder 
darauf hin, dass unerlässliche Voraussetzung für einen wir- 
kungsvollen — und von den Bürgerinnen und Bürgern akzep- 
tierten - Einsatz von Videoüberwachung die frühzeitige und 
angemessene Beteiligung der Betroffenen ist. Das kann da- 
mit beginnen, dass ein beabsichtigtes Projekt in angemesse- 
ner Form - auch mithilfe der Medien - bekannt gegeben 
und den Betroffenen Gelegenheit gegeben wird, sich hierzu 
zu äußern. Bereits in dieser Phase könnten Mängel erkannt 
und bestehende Besorgnisse durch die Gestaltung des Sys- 
tems behoben werden. Die Inbetriebnahme des fertigen Sys- 
tems sollte ebenfalls frühzeitig und in angemessener Form 
bekannt gemacht werden. V on besonderer Bedeutung ist 
auch die in § 6b Abs. 2 BDSG geforderte Kenntlich- 
machung der V ideoüberwachung: Wer sich in einen über- 
wachten Bereich begibt oder sich in ihm aufhält, muss über 
diesen Umstand unmissverständlich und deutlich informiert 
werden. 


4.1.2 Datenschutz durch Technik 

Bei der Videoüberwachung muss in besonderer W eise dem 
Grundsatz der Datensparsamkeit und Datenvenneidung 
Rechnung getragen werden, wie er nach der Novellierung 
des BDSG in § 3a geregelt is t. Für die technische Ausge- 
staltung eines V ideoüberwachungssystems ergeben sich 
hieraus eine Reihe von Anforderungen: 

Grundsätzlich unzulässig ist - über die Beobachtung hinaus - 
eine permanente Aufzeichnung aller gewonnenen Bild- 
sequenzen oder auch nur der Bildsequenzen einzelner Ka- 
meras. Die Aufzeichnung ist nur zulässig, „wenn sie zum 
Erreichen des verfolgten Zwecks erforderlich ist (§ 6b 
Abs. 3 BDSG)“. ln diesem Sinne muss der Umfang der 
gespeicherten Daten technisch - gegebenenfalls durch 
„menschliche Mitwirkung“ - auf das Unerlässliche begrenzt 
werden. Dies kann z. B. dadurch geschehen, dass der Auf- 
zeichnungszeitraum für eine be stimmte Kamera auf einen 
kurzen Zeitraum, z. B. 30 Minuten, begrenzt wird, wonach 
die gespeicherten Daten automatisch durch die Daten der 
danach folgenden Bildsequenzen überschrieben werden. Als 
Alternative bietet es sich an, erst im „Alarmfall“ mittels 
Knopfdruck eine Aufzeichnung zu starten. 

Für die Wahrung des Persönlichkeitsrechts der Betrof fenen 
ist es von besonderer Bedeutung, dass der Aufnahmewinkel 
der Kameras bzw. die dadurch bestimmten Bildausschnitte 
sich strengstens am Zweck der V ideobeobachtung orientie- 
ren. Dabei dürfen Sichtwinkel und Brennweite der Kameras 
keineswegs einen Einblick in W ohn- und Geschäftsräume 
ermöglichen, der eine Identifikation der dort wohnenden 
bzw. arbeitenden Menschen erlaubt. 

Besonders beeindruckt hat mich das Konzept eines deutschen 
Anbieters von Videobeobachtungssystemen, wonach die Ge- 
sichter der beobachteten Pe rsonen in der Aufzeichnung 
grundsätzlich durch eine comp utergestützte Bildbearbeitung 
unkenntlich gemacht werden: Das eingesetzte Programm er- 
kennt in den V ideobildem mit hoher Zuverlässigkeit 
menschliche Gesichter und verdeckt diese mit einem geo- 
metrischen Muster, wie wir dies — allerdings von Menschen 
gesteuert - bereits aus dem Fernsehen etwa beim Interview 
von Personen kennen, die nicht erkannt werden wollen. Die 
Unkenntlichmachung kann durch eine erneute Bearbeitung 
der Aufzeichnung wieder aufgehoben werden, etwa durch 
den Warenhausdetektiv, wenn durch die V ideobeobachtung 
ein Diebstahl aufgezeichnet wurde. Die Unkenntlich- 
machung der Gesichter der Kaufhauskunden kann von ihm 
jedoch nur dann aufgehoben werden, wenn er dafür einen 
kryptographischen Schlüssel benutzt, der Unbefugten nicht 
zur Verfügung steht. 

Durch intensive Kontakte zu Anbietern und Mitarbeit in 
verschiedenen Gremien von Anbietern und wissenschaftli- 
chen Einrichtungen setze ich mich für datenschutzfördemde 
Maßnahmen bei der Videotechnik ein. 

4.2 Mehr Sicherheit mit Biometrie? 

„Password oder PIN ver gessen?“ oder „Handelt es sich 
wirklich um die Person, für die sie sich ausgibt?“. 

Wer kennt nicht das Problem? Sicherheit - angefangen von 
Zugangsschutz zu Gebäuden oder Einrichtungen bis hin zur 
Anmeldung am PC - bekommt einen immer größeren Stel- 
lenwert in unserer Gesellschaft. Nicht erst seit dem 1 1. Sep- 
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tember 2001 ist der Ruf nach mehr Sicherheit gestiegen. Die 
Verfahren zur Identifikation bzw. Verifikation von Personen 
werden bei höheren Sicherheitsanforderungen und den da- 
mit verbundenen zusätzlichen Kontrollen zur Überprüfung 
von Personen personal- und kostenintensiv . Unterstützung 
bei der Feststellung der Identität von Personen kann die 
„Biometrie“ leisten. Bei dieser Technik werden unterschied- 
liche individuelle Merkmale des menschlichen Körpers wie 
Iris, Fingerabdruck, Stimme oder Gesichtsform mithilfe 
elektronischer Verfahren zur Identifikation bzw . Verifika- 
tion von Personen genutzt. Die zu bestimmenden Ausprä- 
gungen der Körpermerkmale werden dabei erfasst, gespei- 
chert und automatisiert mit dem Original verglichen. Damit 
wird der eigene Körper zum Schlüssel. 

Zu den momentan auf dem Markt befindlichen biometri- 
schen Systemen, die unterschiedliche biometrische Merk- 
male nutzen, hegen derzeit hinsichtlich eines Masseneinsat- 
zes nur wenig aussagefähige Erfahrungswerte vor . Dies 
schließt deren Genauigkeit, Fehlerquote und praktische 
Nutzbarkeit ein. Auch werden Missbrauchsmöglichkeiten 
der biometrischen Informati onen diskutiert und die Ent- 
wicklung der einzelnen Verfahren ist noch nicht abgeschlos- 
sen. Dadurch, dass Missbrauchsmöglichkeiten bei einzelnen 
Anwendungen nicht ausgeschlossen werden können, wer- 
den biometrische Daten als hoch sensibel eingestuft. 

Je nach Sicherheitsanforderung kann bereits jetzt der Ein- 
satz von auf dem Markt vorhandenen Produkten sinnvoll 
sein. Dabei besteht auch durchaus die Möglichkeit eines da- 
tenschutzgerechten Einsatzes. Für die jeweilige Anwendung 
sind dazu das entsprechend den Sicherheitsanforderungen 
infrage kommende biometrische V erfahren, die Einsatz- 
umgebung und die Randbedingungen zu untersuchen. Eine 
grundsätzliche Aussage über die Datenschutzkonformität 
der einzelnen Verfahren lässt sich nicht tref fen; hier fehlen 
derzeit noch vergleichende Erkenntnisse. 

Maßstab für eine Anwendung im Sinne des Datenschutzes 
sollte z. B. sein, dass 

- nur solche Verfahren zum Einsatz kommen, die eine Be- 
nachteiligung bestimmter Pe rsonengruppen weitgehend 
ausschließen; 

- nur die für den späteren V ergleich notwendigen Merk- 
male und keine Überschussinformationen aufgenom- 
men und gespeichert werden; 

- eine strenge Zweckbindung der Daten sichergestellt ist; 

- die Datensätze nur in einer gesicherten Umgebung 
(Netzwerk, Datenbank) verarbeitet werden; 

- nach Möglichkeit auf eine zentrale Speicherung der Da- 
ten verzichtet wird, z. B. durch Speicherung der Daten 
auf einer Chipkarte oder einem Ausweis; 

- nur kooperative biometrische Verfahren eingesetzt wer- 
den (die zu überprüfende Person muss aktiv in die Über- 
prüfung einbezogen werden, keine verdeckte Erfassung); 

- eine umfassende Information über die gesamte Anwen- 
dung beim beteiligten Personenkreis erfolgt bzw . eine 
gesetzliche Regelung für den Einsatz vorliegt und 

- eine sofortige Löschung der Daten vor genommen wird, 
sobald ein Betrof fener nicht mehr an der Anwendung 
teilnimmt. 


Bei einem datenschutzfreundlichen Verfahren werden schon 
beim „enrolment“ - der ersten Datenerhebung — vom Sys- 
tem nur die für einen späteren Vergleich notwendigen Daten 
erfasst und gespeichert. Eine Speicherung der vollständig 
erhobenen Daten ist in der Regel nicht notwendig. 

Da wir erst am Anfang der Nutzung biometrischer Verfah- 
ren stehen, bleibt abzuwarten, ob mit der Zuordnung eines 
biometrischen Merkmals zu ei ner Person eine ausreichend 
sichere Verifikation oder Identifizierung voigenommen wer- 
den kann. 

Das Bundesamt für Sicherheit in der Infonnationstechnik 
prüft in Zusammenarbeit mit dem Bundeskriminalamt 
derzeit verschiedene biometrische Verfahren auf ihre Eig- 
nung. 

So wird u. a. die Möglichkeit der Aufnahme von maschi- 
nenlesbaren biometrischen Merkmalen in Ausweisdoku- 
menten und die Einführung eines vereinfachten Grenzkon- 
trollverfahrens untersucht. Vor einer Einführung derartiger 
Systeme müssen jedoch noch die gesetzlichen Grundlagen 
geschaffen werden. 

Ob und wann damit das Auswendiglernen von PIN-Num- 
mem und Passwörtern der V ergangenheit angehört, bleibt 
abzuwarten. 

4.3 Protection Profile - Sicherheits- 
anforderungen auf den Nenner gebracht 

In der V ergangenheit wurde versucht, die Sicherheit und 
Vertrauenswürdigkeit von IT-Systemen durch die Zertifizie- 
rung nach dem europäischen Kriterienkatalog „ Information 
Technology Security Evaluation Criteria (ITSEC)“ nach- 
zuweisen. Der Kriterienkatalog enthält vordefinierte Funk- 
tionalitätsklassen, sodass Antragsteller ihr System oder 
Produkt einer Evaluation gemäß dieser Klassen unterziehen 
können. Die Anwendung der ITSEC- Kriterien ist sehr zeit- 
und kostenintensiv und berücksichtigt anwendungsspezifi- 
sche Forderungen beispielsweise des Datenschutzes nicht. 
Da sich die ITSEC-Kriterien nur schwer am Markt durch- 
setzen ließen, wurde ein neuer Kriterienkatalog die „ Com- 
mon Criteria for Infonnation T echnology Security Evalua- 
tion (CC)“ erarbeitet und ve röffentlicht: Diese Kriterien 
sind eine W eiterentwicklung und Harmonisierung der 
ITSEC, des Orange Book und der Sicherheitskriterien Ka- 
nadas. Nach beiden Kriterienkatalogen ist eine Prüfung und 
Bewertung sowohl der Funktiona lität als auch der V ertrau- 
enswürdigkeit eines Systems möglich, wobei die CC detail- 
liertere Funktionalitätskriterien bieten als die ITSEC. Die 
CC sind für die Bewertung der Sicherheitseigenschaften al- 
ler infonnationstechnischer Systeme und Produkte geeignet. 
Die Standardisierungsorganisation ISO hat die Federfüh- 
rung bei der Entwicklung übernommen und die CC zum in- 
ternational genormten Standard (ISO/IEC 15408) geführt. 
Sie bestehen im Wesentlichen aus vier Teilen: 

Einführung und allgemeines Modell, 

- funktionale Sicherheitsanforderungen, 

- Anforderungen an die Vertrauenswürdigkeit und 

- Schutzprofile. 

Aus datenschutzrechtlicher Sicht ist besonders die Möglich- 
keit interessant, für bestimmte Anforderungen, beispielsweise 
die Infonnationsflusssteuerung, Schutzprofile (Protection 
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Profiles) zu definieren und dies e registrieren zu lassen. Im 
Beschreibungsteil der Schutzprofile können die Sicherheits- 
ziele anwendungsspezifisch und damit datenschutzgerecht 
beschrieben werden. Dies erhöht die bislang vermisste Fle- 
xibilität. Nach der Registrierung von solchen Profilen steht 
es Anbietern frei, ihre Produkt e auf die Einhaltung der An- 
forderungen der Schutzprofile prüfen zu lassen. Ich habe 
mich darum entschlossen, in Zusammenarbeit mit dem Bun- 
desamt für Sicherheit in der Infonnationstechnik (BSI) und 
dem Bayerischen Landesbeauftragten für den Datenschutz 
die Möglichkeiten der flexiblen Gestaltung von Schutzpro- 
filen für die Beschreibung einer Informationsflusssteuerung 
zu nutzen. 

Das Schutzprofil „Benutzerbestimmbare Infonnationsfluss- 
kontrolle“ definiert Sicherheitsanforderungen für den Be- 
trieb von IT -Anwendungen an Arbeitsplätzen, auf denen 
personenbezogene Daten verarb eitet werden. Das Konzept 
entstand aufgrund von Überlegungen, den Infonnationsfluss 
auf Arbeitsplatzrechnem gezielt steuern zu können. Hierzu 
wurden Anforderungen definiert, die es gestatten, die Zuläs- 
sigkeit eines Infonnationsflusses auf einem Arbeitsplatz- 
rechner gemäß definierbarer Regeln zu kontrollieren. Das 
Schutzprofil unterstützt besonders IT -Anwender mit gerin- 
ger Fachkompetenz in der Durchsetzung des Schutzes von 
personenbezogenen Infonnationen. Die Einsatzmöglichkei- 
ten des Schutzprofils liegen in folgenden Bereichen: 

- E-Commerce (Data Warehouse etc.), 

- eGovemment (Auftragsvergabe, Antragswesen etc.), 

- Gesundheitswesen (elektronische Patientenakte etc.), 

- Tele- und Mediendienste. 

Jedem einzelnen Informati onsfluss kann eine seinem 
Schutzbedarf entsprechende Kombination von Sicherheits- 
mechanismen zugeordnet werden. Für die kontrollierten In- 
formationen gewährleisten diese Mechanismen selektiv den 
Schutz 

- der Integrität durch elektronische Signatur, 

- der Vertraulichkeit durch Verschlüsselung und 

- der Authentizität durch elektronische Zertifikate. 

Es ist das erste Datenschutzprofil in Deutschland und wurde 
vom BSI evaluiert und am 1. Oktober 2002 zertifiziert. Am 
12. November 2002 wurde es mir als Auftraggeber vom 
Präsidenten des BSI übergeben. Die genauen Beschreibun- 
gen können auf meiner Homepage (http://wwwbfd.bund.de/ 
technik/protection_profile.html) eingesehen werden. 

Der Einsatz nach dem Schutzp rofil zertifizierter Software 
bietet sich in verschiedenen Bereichen an: z. B. elektro- 
nischen Bezahlvorgängen, bei der Speicherung von medi- 
zinischen Daten oder bei Ba nkgeschäften mit Buchungs- 
transaktionen. Das Schutzprofil selbst abstrahiert die 
datenschutzrechtlichen Anforderungen an eine Software so 
weit von technischen Details, dass eine Realisierung für 
eine breite Palette untersc hiedlicher IT-Umgebungen mög- 
lich ist. 

4.4 Offene Software im Kommen 

Nach meinem letzten Tätigkeitsbericht (siehe 18. TB Nr. 8.8) 
hat die Bereitschaft zum Eins atz offener Software (Open 


Source Software — OSS) in der \ferwaltung weiter zugenom- 
men: 

- So hat der Ältestenrat des Deutschen Bundestags auf 
Vorschlag der IuK- Kommis sion am 14. März 2002 be- 
schlossen, im Deutschen B undestag auf allen Servern 
das Betriebssystem Linux und auf den Clients W indows 
XP - wahlweise auch hier Linux — einzuführen. Als Ver- 
zeichnisdienst soll OpenLdap - ein freier Server auf der 
Grundlage des Lightweight Directory Access Protocol 
(LDAP), der eine einheitliche Basis für Personendaten 
wie E-Mail-Adresse und Fax-Nummer bietet - einge- 
führt werden. W ie der V orsitzende des Ältestenrats, 
Dr. Uwe Küster, auf dem Linuxtag 2002 ausführte, ist 
das eine richtungsweisende Entscheidung und ein Signal 
sowohl für die öf fentliche Verwaltung als auch für die 
Wirtschaft, verstärkt OSS einzusetzen. 

- Bundesinnenminister Otto Schily Unterzeichnete am 
3. Juni 2002 zusammen mit dem IBM-Chef Erwin 
Staudt einen Kooperationsvertrag über die Förderung 
von OSS in der öf fentlichen Verwaltung. Damit werden 
OSS, Hardware und die erforderliche Unterstützung für 
Bund, Länder und Kommunen zu besonders günstigen 
Konditionen angeboten. Das Bundesministerium des In- 
nern strebt eine Erhöhung des OSS-Anteils vor allem bei 
Servern an und rechnet für 2003 und 2004 im Server- 
bereich mit einer erheblichen Verschiebung hin zum Be- 
triebssystem Linux. 

— Das Bundesamt für Sicherheit in der Infonnationstech- 
nik (BSI) hat ein Förderprogramm aufgelegt, mit dem 
OSS-Projekte in der Bunde sverwaltung unterstützt wer- 
den, bei denen Linux am Arbeitsplatz erprobt wird. Wei- 
ter hat das BSI mit dem Projekt „Ägypten“ erstmals ein 
Entwicklungsvorhaben nach den Grundsätzen der freien 
Softwareentwicklung durchgeführt. Mit dieser Software 
werden Verschlüsselung und Signatur für freie E-Mail- 
Systeme bereitgestellt. Weitere Infonnationen zu diesem 
Projekt sind im Internet unter http://www .gnupg.org/ 
aegypten/index.de.html zu finden. 

— Auch die Europäische Kommission befasst sich mit 
dem Einsatz von OSS (s. z. B. http://europa.eu.int/comm/ 
enterprise/library/enterprise-europe/news-updates/new- 
economy/20020708.htm). 

Für einen Umstieg gibt es also gute Gründe. So ist bei vie- 
len Behörden die Ablösung vera lteter Hardware notwendig 
oder die eingesetzte Software wird von Anbietern bzw. Her- 
stellern nicht mehr unterstützt. Für den Datenschutz sind be- 
sonders die hohe V erfügbarkeit und Sicherheit sowie die 
leichte Wartung vorteilhaft. Da s dabei gelegentlich vor ge- 
brachte Argument hoher Schulungskosten bei den Anwen- 
dern berücksichtigt nicht, dass auch bei herkömmlicher , 
proprietärer Software Schulungsmaßnahmen notwendig 
sind, da sich dort die neuen Produkte oft erheblich von den 
eingesetzten Produkten unterscheiden (zur Umstellung in 
meiner Dienststelle s. Nr. 33.8). 

Schließlich stellt die bei OSS übliche vollständige Of fen- 
legung des Quelltextes von Programmen für die IT-Sicher- 
heit und den Datenschutz eine große Chance dar, insbeson- 
dere um verdeckte Programmfunktionen besser erkennen 
zu können. Prüfungen sind allerdings nur dann sicher , 
wenn der Quelltext auch tatsächlich von kompetenten Per- 
sonen untersucht wird und die Programme auf einem ver- 
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trauenswürdigen Weg (z. B. durch Signaturen) bereitge- 
stellt werden. 

Bei der Nutzung der OSS-Produkte gibt es keinen „Zwang“ 
zur Registrierung und der damit verbundenen Übermittlung 
personen- oder organisationsbezogener Daten an den Her- 
steller, so wie es bei vielen proprietären Produkten der Fall 
ist. Vielmehr besteht bei OS S die Möglichkeit, diese im 
Sinne des Datenschutzes weiterzuentwickeln, um z. B. zu 
besseren Techniken der Da tenvermeidung und Datenspar- 
samkeit oder prüfbarer Sicherheit zu gelangen. 

4.5 Programm zur „freiwilligen Selbst- 
kontrolle“ einer Internetseite 

Die Gestaltung einer Intemetseite sowie die Erbringung von 
Zusatzdiensten muss sich im Rahmen der gesetzlichen Be- 
stimmungen bewegen. Regelungen zum Datenschutz, die 
bei der Erstellung von Internetseiten zu beachten sind, fin- 
den sich beispielsweise in folgenden Bestimmungen: 

- Teledienstegesetz 

- Teledienstedatenschutzgesetz 

- Mediendienstestaatsvertrag 

- Telekommunikationsgesetz 

- Femabsatzgesetz 

- Bundesdatenschutzgesetz 

- Signaturgesetz. 

Eine umfassende manuelle Prüfung von bestehenden Inter- 
netseiten auf die Einhaltung de r gesetzlichen Regelungen 
scheitert in vielen Fällen allein schon an der Größe des An- 
gebotes. Intemetseiten können aus datenschutzrechtlicher 
Sicht zum T eil sehr unterschi edlich ausfallen. Dabei soll 
hier nicht besonderer Wert auf das Design oder die Form ge- 
legt werden; vielmehr soll ausschließlich das Vorhandensein 
datenschutzrechtlicher Anforderungen wie Impressum, Da- 
tenschutzhinweise und Formular gestaltungen geprüft wer- 
den. 

Vor diesem Hintergrund wurde in Zusammenarbeit mit der 
Fachhochschule Bonn-Rhein-Sieg die Möglichkeit einer au- 
tomatisierten Datenschutzprüfung von Intemetseiten entwi- 
ckelt. Nach Abschluss der Arbeiten besteht mit dem Dienst 
„System zur automatisierten Datenschutzprüfung (SaD)“ 
nunmehr für Unternehmen und Behörden die Möglichkeit, 
in Form einer freiwilligen Selbstkontrolle ihre Intemet- 
auftritte automatisiert auf die Einhaltung von gesetzlichen 
Datenschutzforderungen hin zu überprüfen. Das V erfahren 
gestattet es den V erantwortlichen in Behörden und Unter- 
nehmen, datenschutzrechtlich bedenkliche Inhalte zu erken- 
nen und zu beseitigen. Zur Prüf ung selbst muss keine Soft- 
ware geladen werden. Hierzu reicht der Aufruf von SaD 
über die Intemetseite http://sa d.inf.fh-rhein-sieg.de/. Dort 
wird die Adresse der zu überp rüfenden Seite hinterlegt und 
eine eigene „Er gebnis“-E-Mail-Adresse angegeben. SaD 
übernimmt nach dieser Eingabe die Überprüfung selbst. 
Hierzu wird zunächst die komplette Intemetseite der ange- 
gebenen Adresse auf den SaD-Server herunter geladen. So- 
bald dieser Ladevorgang abgeschlossen ist, beginnt SaD mit 
der Prüfung der Seite. Dies erfolgt beispielsweise über die 
Suche von Schlüsselwörtern. So wird das Impressum über 
die Suche der Worte „Impressum“, „Wir über uns“ usw. ge- 


sucht. Findet SaD entsprechende Eintragungen, wird davon 
ausgegangen, daß entspreche nde Inhalte vorhanden sind. 
Das Testen von Formularen erfolgt über die Suche von ent- 
sprechenden Schlüsselcodes in der HTML -Programmie- 
rung. Auch die näheren Inhalte der Formulare können über 
Schlüsselwörter abgeprüft werden. So geht SaD davon aus, 
dass das Wort „Berufe ‘ vor einem Formularfeld die Eingabe 
einer Berufsbezeichnung im Formular erfordert. Die Ergeb- 
nisse dieser Untersuchungen speichert SaD in einer Daten- 
bank. Nach Abschluss der Prüfung wird an die „Er gebnis“- 
E-Mail-Adresse ein Abschlussreport gesendet. Die herun- 
tergeladenen Internetseiten werden dann gelöscht. 

SaD ist modular aufgebaut, d. h. pro geprüftem Kriterium 
gibt es ein Prüfskript, sodass eine Erweiterung von SaD je- 
derzeit sichergestellt ist. Auch „prangert“ SaD keine Män- 
gel an, sondern will durch einen Hinweis den Anbieter der 
Intemetseite auf mögliche Mängel nur aufmerksam ma- 
chen. Es bleibt dem Anbiet er überlassen, ob er dem Hin- 
weis von SaD folgt und die Ge staltung nochmals kritisch 
hinterfragt. 

Eine Zielsetzung von SaD war die Bereitstellung eines 
Dienstes zur freiwilligen Selbstkontrolle. Um diesem Ziel 
gerecht zu werden, mussten Sicherheitsfunktionen im V er- 
fahren berücksichtigt werden; u. a. sollte auf keinen Fall 
eine Überprüfung von Seiten anderer Behörden oder Unter- 
nehmen möglich sein. Dies wurde dadurch realisiert, dass 
vor dem Start der Prüfung fest gestellt wird, ob die „Ergeb- 
nis“-E-Mail-Adresse aus der Domäne stammt, die zu über- 
prüfen ist. Ferner wird an diese Adresse eine E-Mail gesen- 
det, in der eine Zufallszahl genannt wird, unter der das 
Ergebnis abrufbar ist. Nur durch die Bestätigung des Er- 
halts dieser Zufallszahl kann das Ergebnis von SaD abgeru- 
fen werden. Die Überprüfung anderer Internetseiten als der 
eigenen ist somit weitgehend ausgeschlossen. 

Um zu verhindern, dass es durch mehrmaliges Aufrufen 
von SaD zu einer Überlastung der Intemetseite kommt, 
wird der Startauftrag ebenfalls in eine Datenbank eingetra- 
gen. Erfolgt eine zweite Prüfanforderung innerhalb kurzer 
Zeit, wird diese abgelehnt. 

SaD steht derzeit kostenlos für Behörden und Unternehmen 
zur Verfügung. 

4.6 Nur ein Programmfehler verhinderte 
Ausspionieren von Kollegen 

Immer wieder beweist es sich, dass keine Kontrolle wie die 
andere verläuft und man niemals davon ausgehen kann, weit 
verbreitete und scheinbar hi nlänglich bekannte IT-Systeme 
wirklich zu kennen. Anlässlich der Kontrolle einer Behörde, 
die ein lokales Netzwerk mit den zurzeit häufig anzutreffen- 
den Systemkomponenten Novell in V erbindung mit W in- 
dows NT auf Server- und Clientseite betreibt, wurden stich- 
probenartig auch einige Standard- Arbeitsplatzcomputer im 
Bereich der Zentralabteilung einer genaueren Überprüfung 
unterzogen. 

Hierbei ergab sich aus Sicht einer bestimmten Nutzergruppe 
der Eindruck, dass über die Option , Netzlaufwerk verbin- 
den 1 unter , Extras 1 im W indows-Explorer problemlos eine 
Verbindung zu Netzlaufwerken anderer Mitarbeiter her ge- 
stellt werden konnte mit der Folg e, dass hier scheinbar ein 
Zugriff auf die personenbezogenen Daten dieser Mitarbeiter 
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möglich war. Im Wesentlichen handelte es sich hierbei um 
Daten, die bei der Nutzung des Intemetexplorers anfallen 
(temporäre Intemetdateien usw .). Nach Überprüfung der 
systemseitigen Einstellungen der betroffenen PC sowie Ser- 
ver ergab sich folgendes Bild : Alle Benutzer der betref fen- 
den Organisationseinheit, die auf einem bestimmten Server 
eingerichtet waren und die Möglichkeit zum Zugrif f auf 
Netzlaufwerke hatten, konnten in den Fällen, bei denen auf 
dem Server die Nutzereinstellungen im Systemobjekt „Pu- 
blic“ auf ,Read‘ und ,File-Scan‘ gesetzt waren, die V er- 
zeichnisnamen aller auf diesem Server befindlichen Nutzer 
erkennen. 

Der angezeigte Inhalt in dies en Verzeichnissen war aller- 
dings lediglich mit dem Inhalt der eigenen gleichlautenden 
Unterverzeichnisse identisch; eine tatsächliche Kenntnis- 
nahmemöglichkeit von Inhalten anderer Nutzer fand also 
nicht statt. Dies war aber nur dem glücklichen Umstand zu 
verdanken, dass im Windows-Dateimanager ein Fehler vor- 
lag. Dieser herstellerseitig ni cht dokumentierte Fehler be- 
steht darin, dass bei Ablage der Profildaten auf einem Netz- 
laufwerk zwar die angelegten Verzeichnisnamen, nicht aber 
deren Inhalte angezeigt werde n. Gesteuert durch clientsei- 
tige Systemeinträge erfolgt der Zugriff immer auf die loka- 
len Daten. Ohne diesen Fehler wäre der Zugriff auf die Da- 
ten der anderen Nutzer aufgrund der eingestellten Rechte 
auf dem Server tatsächlich möglich gewesen. 

Aus datenschutzrechtlicher Sicht lag hier an sich ein 
schwerwiegender Mangel in der Rechteverwaltung vor , der 
für sich allein schon Grund für eine Beanstandung nach § 25 
BDSG gewesen wäre. Aufgrund besonderer Umstände so- 
wie der Zusage der Behörde, die Konfiguration unverzüg- 
lich zu ändern und die nutzerspezifischen Profildaten nicht 
mehr auf Netzlaufwerken, sondern lokal abzulegen, habe 
ich von einer Beanstandung abgesehen. 

4.7 Datenschutzgerechtes 
eGovernment 

Infolge der zunehmenden el ektronischen Kommunikation 
verändern sich auch die Verwaltungsvorgänge. Umständliche 
Behördengänge, eingeschränkte Sprechzeiten und oftmals 
lange Wartezeiten vor Ort so llen zukünftig weitestgehend 
vermieden werden, indem z. B. An- und Abmeldungen, An- 
träge, ja sogar V erwaltungsakte elektronisch versandt und 
empfangen werden können, ln diesem Zusammenhang wird 
der Begriff Electronic -Government (eGovernment) verwen- 
det. Man spricht aber nich t nur von eGovernment, wenn es 
sich um das Außenverhältnis der V erwaltung handelt, also 
zur Wirtschaft und zum Bür ger, sondern man spricht auch 
von eGovernment, wenn innerhalb der V erwaltung Verfah- 
ren der V organgsbearbeitung den neuen Kommunikati- 
onstechniken angepasst werden, um diese auch sinnvoll zu 
nutzen. Als Beispiel für das Außenverhältnis der Verwal- 
tung seien die Ausschreibung für die Beschaf fung stellver- 
tretend für die Beziehung V erwaltung-Wirtschaft und das 
Verfahren zur elektronischen Steuererklärung ELSTER für 
die Beziehung Verwaltung-Bürger genannt. 

Gesetzliche Rahmenbedingungen hierfür wurden u. a. mit 
dem Telekommunikationsgesetz, dem T eledienstedaten- 
schutzgesetz, dem Mediendienstestaatsvertrag, dem neuen 
Signaturgesetz und dem überarbeiteten V erwaltungsverfah- 
rensgesetz geschaffen. 


Aus der Sicht des Datenschutzes sind bei eGovernment- An- 
wendungen u. a. folgende Aspekte zu beachten: 

- Datenvermeidung und Datensparsamkeit (z. B. Pseudo- 
nymisierung); 

- sichere Transaktionen über das öffentliche Netz; 

- Transparenz der V erfahren (Datenschutzinfonnationen, 
elektronische Auskunft, Berichtigung, Löschung); 

- Beachtung der Zweckbindung und anderer datenschutz- 
rechtlicher Vorschriften sowie 

- datenschutzgerechte Intemetangebote (nur zulässige Da- 
ten ins Internet, rechtzeitige Löschung von Verbindungs- 
daten, Anbieterkennzeichnung, Reduzierung von 
Cookies, Anonymität von Statistiken). 

Insbesondere die Anbindung der V erwaltung an das Me- 
dium Internet erfordert eine sichere und vertrauliche Kom- 
munikation sowie einen angemessenen Schutz personenbe- 
zogener Daten. Aus datenschutzrechtlicher Sicht muss 
gewährleistet sein, dass keine Unberechtigten personenbe- 
zogene Daten erlangen oder gar verfälschen können. Liier 
gilt es, geeignete Sicherheitsmaßnahmen wie V erschlüsse- 
lung und elektronische Signatur einzusetzen. Überall da, wo 
es auf die Integrität und Authentizität einer W illenserklä- 
rung ankommt, bietet sich der Einsatz der elektronischen Si- 
gnatur an. Eine vertrauliche Kommunikation erfordert die 
Verschlüsselung der zu übertragenden Infonnationen. Ohne 
hinreichende Sicherheit we rden die Anwender den neuen 
technischen Möglichkeiten nur bedingt vertrauen und sie 
darum auch nicht nutzen. 

Die Bundesregierung plant, im Rahmen der Initiative 
BundOnline 2005 bis zum Jahr 2005 alle internetfähigen 
Dienstleistungen der Bundesverwaltung auch über das In- 
ternet online bereitzustellen. Zur Förderung der Initiative 
BundOnline 2005 wurde von Seiten des Bundesamtes für 
Sicherheit in der Informati onstechnik (BSI) ein eGovem- 
ment-Flandbuch erarbeitet, welches erstmalig öffentlich auf 
der CeBit 2001 vor gestellt wurde. Dieses Handbuch wird 
modular im Internet (www .bsi.bund.de) veröffentlicht und 
aktualisiert. Es enthält sow ohl methodische Hinweise für 
planmäßiges Vorgehen als auch praktische Lösungsansätze. 
Des Weiteren soll die Initiative MEDIA@KOMM der 
Bundesregierung diese Entwicklung in den Städten und 
Gemeinden gezielt unterstützen und die Einführung von 
eGovemment-Dienstleistungen beschleunigen. 

Die Datenschutzbeauftragten des Bundes und der Länder 
haben im Oktober 2000 die Entschließung „V om Bürger- 
büro zum Internet - Empfehlungen zum Datenschutz für 
eine serviceorientierte V erwaltung“ verabschiedet, ln die- 
ser Entschließung erklären si e ihre ausdrückliche Bereit- 
schaft, solche Entwicklungsprozesse konstruktiv zu beglei- 
ten. Die 61. Konferenz der Datenschutzbeauftragten des 
Bundes und der Länder hat am 8. und 9. März 2001 be- 
schlossen, eine Arbeitsgruppe „eGovernment“ einzurich- 
ten, dessen Federführung Niedersachsen übernommen hat 
und an der auch ich beteiligt war . Als Ergebnis dieser Ar- 
beitsgruppe ist die Broschür e „Datenschutzgerechtes eGo- 
vemment“ entstanden, die als Handreichung für den Prakti- 
ker in der Verwaltung gedacht ist; sie steht jedoch auch für 
alle anderen Interessenten zum Abruf auf den Intemetsei- 
ten des virtuellen Datenschut zbüros (www.datenschutz.de) 
bereit. 
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5 Deutscher Bundestag - Datenschutz- 
ordnung für den parlamentarischen 
Bereich 

Zu den Themen, die seit vielen Jahren immer wieder Gegen- 
stand in meinen Tätigkeitsb erichten waren, gehört die 
Schaffung einer Datenschutzordnung für den Deutschen 
Bundestag (vgl. 17. TB Nr. 3.1; 16. TB Nr. 35, dort Nr. 1; 
15. TB Nr. 2; 14. TB Nr . 3.1). Von der Novellierung des 
Bundesdatenschutzgesetzes im Jahre 2001 hatte ich erhofft, 
dass hiervon auch neue Impulse für den Erlass einer Daten- 
schutzordnung des Deutschen Bundestages ausgehen wür- 
den. Tatsächlich waren die Ge spräche mit dem Deutschen 
Bundestag zu diesem Thema am Ende der ver gangenen Le- 
gislaturperiode sehr intensiv. Besondere Probleme für eine 
tragbare Lösung, die insbesondere auch den besonderen Sta- 
tus der Abgeordneten und des Parlaments berücksichtigen 
muss, bereiteten insbesondere eine Schadensersatzregelung 
entsprechend den §§ 7 und 8 BDSG, Regelungen für eine 
Datenübermittlung ins Ausland, Benachrichtigungspflichten 
nach § 19a BDSG und Auskunftspflichten. 

Eine Untersuchung von Datenschutzordnungen für den par- 
lamentarischen Bereich im Ausland und bei den Ländern er- 
gab folgendes: Zwar besteht lediglich in Schweden ein eige- 
nes Gesetz für das Infonnationssystem Rixlex des 
Reichstags, ln den anderen 13 Ländern, die auf meine An- 
frage geantwortet haben, gilt - abgesehen von Dänemark 
und der Schweiz - für die dortigen Parlamente das jeweilige 
nationale Datenschutzgesetz, zum Teil mit geringen Anpas- 
sungen an die Besonderheiten des parlamentarischen Be- 
reichs. ln Deutschland haben mittlerweile die Landesparla- 
mente von sechs Ländern (Bremen, Hambur g, Hessen, 
Niedersachsen, Rheinland-Pfalz und Schleswig-Holstein) 
eine für sie geltende Datenschutzordnung erlassen, die sich 
an einem entsprechenden Musterentwurf orientiert, den die 
Konferenz der Präsidentinnen und Präsidenten der deut- 
schen Landesparlamente bereit s Mitte der Neunzigerjahre 
vorgelegt hat. ln elf Ländern gibt es in den Landesdaten- 
schutzgesetzen Regelungen zum Datenschutz im parlamen- 
tarischen Bereich und nur in vier Ländern wurden bislang 
datenschutzrechtliche Regelungen für das Landesparlament 
nicht getroffen. 

Zu meinem Bedauern war am Ende der Legislaturperiode 
die Zeit zu knapp, um die erfo rderlichen Änderungen des 
Bundesdatenschutzgesetzes und eine Datenschutzordnung 
für den Deutschen Bundestag zu beschließen. Ich würde es 
begrüßen, wenn sich der Deutsche Bundestag in dieser Le- 
gislaturperiode eine Datenschutzordnung gibt. 

6 Auswärtiges Amt 

6.1 Das Programm VISA 2000 

Nach der Ausländerdateien-Verordnung (AuslDatV) führen 
die Auslandsvertretungen eine Datei über die erteilten V isa 
und Transit-Visa (Visadatei - § 7 AuslDatV) und eine Datei 
über die Versagungen von Visa (Visa- Versagungsdatei - § 8 
AuslDatV). Geführt werden diese Dateien in den Botschaf- 
ten und Generalkonsulaten zu rzeit noch überwiegend mit- 
hilfe herkömmlicher Datenbanken (siehe auch 18. TB 
Nr. 4.3.5). 

Bei einem Generalkonsulat habe ich mir im Berichtszeit- 
raum das Programm VISA 2000 angesehen, das keine reine 


Datenbank mehr ist, sondern ein datenbankbasiertes auto- 
matisiertes Verfahren zur Durchführung des V isa- Verfah- 
rens (vgl. Abbildung 1). Obwohl derzeit noch zusätzlich Pa- 
pierausdrucke aus dem System gemacht werden, wird das 
Verwaltungsverfahren durch das Programm bestimmt. W e- 
sentliches Ziel ist es, dem Antragsteller möglichst noch am 
gleichen Tag das Visum auszuhändigen. Beim herkömmli- 
chen Verfahren vergehen in der Regel zwei bis vier T age 
zwischen der Stellung eines sc hriftlichen Antrags und der 
Ausstellung des V isums. Auf die Stellung eines schriftli- 
chen Antrags soll demgegenüber beim System VISA 2000 
zukünftig grundsätzlich verzichtet werden. Dazu werden die 
für das Visa- Verfahren erforderlichen Daten am Visa-Schal- 
ter erfragt und direkt in das System VISA 2000 eingegeben. 
Dies hat zur Folge, dass die Bearbeitung des Antrags am 
Schalter nunmehr etwas länger dauert, dafür aber anderer- 
seits die Bearbeitung des V isumantrags in der publikums- 
freien Zeit erheblich kürzer wird. Insbesondere können die 
erforderlichen Anfragen beim Ausländerzentralregister 
(AZR) im Bundesverwaltungsamt (BV A) sofort online er- 
folgen, wenn die Pflichtfelder im Programm VISA 2000 
ausgefüllt sind. Es ist bereits angedacht, den Erfassungsauf- 
wand am Schalter dadurch erheblich zu reduzieren, dass den 
Antragstellern das Antragsformular nicht nur - wie bereits 
seit einiger Zeit — im Internet zum Ausdrucken zur V erfü- 
gung gestellt wird, sondern darüber hinaus ermöglicht wird, 
das Formular online auszufüllen und an die Auslandsvertre- 
tung über Internet zu versenden. Bei der Abholung des V i- 
sums müssten dann die Daten ggf. nur noch ergänzt werden, 
da eine Vorabprüfüng bereits nach der Online-Übermittlung 
in der publikumsfreien Zeit erfolgen könnte. Hinzu kommt, 
dass einige Verfahrensschritte (z. B. Berechnung der Dauer 
der Gültigkeit des Visums oder von Gebühren, Ausdrucken 
des Visa-Etiketts) automatisiert erfolgen und die Zeit der 
Bearbeitung des Antrags hierdurch erheblich verkürzt wird. 
Auch im Falle der Verweigerung des Visums hilft das Sys- 
tem weiter, indem es für die wesentlichen V ersagungs- 
gründe Textbausteine sowohl in der deutschen als auch in 
der jeweiligen Landessprache bereit hält. 

Das Programm VISA 2000 ist derait noch in der Erprobungs- 
phase. Es wird künftig im Zusammenspiel von Auslandsver- 
tretungen und BVA bei der Erteil ung von Visa eine zentrale 
Rolle spielen. Die in das System VISA 2000 einfließenden 
Daten des Antragstellers werden in absehbarer Zeit dem AZR 
im BVA online zur Verfügung gestellt. Dies gilt sowohl für die 
beim Antragsteller erhobenen Daten - einschließlich von bio- 
metrischen Merkmalen, wie z. B. Passbildern - als auch für 
die Daten über die Entscheidung des Antrages. 

Bisher wurde von den Auslandsvertretungen lediglich beim 
BVA nachgefragt, ob dem Visumantrag des Ausländers Ein- 
reisehindemisse oder -bedenken entgegenstehen. Nach den 
Änderungen durch das Terrorismusbekämpfungsgesetz wird 
sich das V erfahren insoweit ä ndern, als nicht nur in den 
Auslandsdienststellen nach den §§ 7 und 8 AuslDatV das 
Ergebnis des Visumsverfahrens in der Visa- bzw. Visa- Ver- 
sagungsdatei festgehalten wird, sondern darüber hinaus 
auch im AZR nach § 29 Ausländerzentralregistergesetz eine 
zentrale Datei geführt wird, die die Entscheidung über einen 
Visumantrag enthält. Dabei kann die Auslandsvertretung er- 
fahren, ob der Antragsteller bereits von einer anderen Aus- 
landsvertretung ein V isum erhalten hat oder dieses abge- 
lehnt wurde und aus welchen Gründen. Hierfür muss die 
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Auslandsdienststelle ihre Entscheidung nicht nur dem An- 
tragsteller, sondern auch dem AZR mitteilen. Über das Sys- 
tem VISA 2000 dürfte es darüber hinaus zukünftig auch 
möglich sein, digitale Passbilder des Visa- Antragstellers an 
die Visa-Datei des AZR zu übermitteln. Die Aufnahme ei- 
nes Passbildes ist derzeit im Programm VISA 2000 (noch) 
nicht vorgesehen, technisch aber machbar. 

Das Programm VISA 2000 ist ein neuer Ansatz, V erwal- 
tungsverfahren (möglichst) ohne Papier durchzuführen. 
Grundsätzliche datenschutzrechtliche Bedenken habe ich 
gegen dieses System nicht. Allerdings ist ihm anzumerken, 
dass Ausgangspunkt der Überlegungen die Durchführung 
des Verfahrens und nicht die Erfüllung gesetzlicher Normen 
ist. Dies wird zum Beispiel dadurch deutlich, dass in einem 
Evaluierungsbericht für das System gefordert wird, es solle 
eine Visa- Versagungsdatei nach § 8 AuslDatV implemen- 
tiert werden. Tatsächlich ist diese Funktion - wenn auch et- 


was versteckt - im System vorhanden, und auch in der Sys- 
tembeschreibung wird auf die Löschungsregelungen der 
§§ 7 und 8 AuslDatV hingewiesen. Allerdings wird dort le- 
diglich das Verfahren beschrieben, wie bei Ablauf der Lö- 
schungsfristen des § 7 Abs. 4 AuslDatV (ein Jahr nach Ab- 
lauf der Geltungsdauer des V isums) bzw. § 8 Abs. 3 Nr . 2 
AuslDatV (fünf Jahre nach Ablehnung des Antrags) der Da- 
tensatz per Hand gelöscht werden kann. Nicht nur , dass in 
der derzeitigen Erprobungsphase im besuchten Generalkon- 
sulat noch kein Datensatz gelöscht wurde; aufgrund bisheri- 
ger Erfahrungen bei Kontrollen, wie mit den bisherigen Da- 
teien nach §§ 7 und 8 AuslDatV umgegangen wird, erwarte 
ich, dass auch künftig nur sehr selten Datensätze gelöscht 
werden. Dies gilt insbesondere für Auslandsvertretungen, in 
denen sehr viele V isa erteilt bzw . verweigert werden. Ge- 
genüber dem Auswärtigen Amt habe ich daher gefordert, 
dass diese Löschfunktion unbe dingt automatisiert werden 
muss. Eine Antwort steht hierzu allerdings noch aus. 
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6.2 Der „Internationale Personaldatenpool“ 

Im Berichtszeitraum wurde das Auswärtige Amt vom Bun- 
deskabinett beauftragt, eine Datenbank („Internationaler 
Personaldatenpool“) zu schaffen, mit deren Hilfe die deut- 
schen Interessen bei der Besetzung von Stellen in interna- 
tionalen Organisationen besser gewählt werden können. 
Die Bundesregierung verfolgt mit dieser Datenbank das 
politische Interesse, die Zahl Deutscher in internationalen 
Organisationen zu erhöhen. Dieser Auftrag an das Aus- 
wärtige Amt hat folgenden Hintergrund: Zwar arbeiten ca. 
3 500 Deutsche (vergleichbar höherer Dienst) derzeit in in- 
ternationalen Organisationen, davon ca. 1 000 in den Or- 
ganen der EU. Trotz ihrer hohen Bevölkerungszahl und ih- 
rer im Durchschnitt ansehnlichen finanziellen Leistungen an 
die internationalen Or ganisationen ist die Bundesrepublik 
Deutschland damit jedoch im Vergleich zu ihren westlichen 
Partnerstaaten personell in vi eien Organisationen nicht so 
vertreten, wie es aus deutscher Sicht wünschenswert wäre. 
Gemeinsam mit dem Büro Führungskräfte zu internatio- 
nalen Organisationen (BFIO) der Bundesanstalt für Arbeit 
sieht das Auswärtige Amt seine Rolle in der Infonnation 
über Aufgabengebiete und W irkungsweise der internatio- 
nalen Organisationen, in der Schaf fung erleichterten Zu- 
gangs zu Stellenausschreibungen sowie in der Unterstüt- 
zung von Bewerbungen, die in ein konkretes Stadium 
getreten sind. 

Bei der Erfüllung dieser Aufgabe hat mich das Auswärtige 
Amt frühzeitig beteiligt. Die von ihm gefundene Lösung 
halte ich aus datenschutzrechtlicher Sicht für sehr gelungen. 
Der potenzielle Bewerber bei internationalen Or ganisation 
pflegt seine Personaldaten (W erdegang, berufliche Qualifi- 
kation etc.) selbst und erhält automatisch einen Abgleich 
aus dem korrespondierenden „internationalen Stellenpool“ 
mit eventuell für ihn geeigneten Stellenausschreibungen. 
Der „Internationale Personaldatenpool“ ist lediglich ein, 
wenn auch sehr gutes Hilfsmittel für eine Bewerbung bei ei- 
ner internationalen Organisation. Da diese Stehen ihrerseits 
keinen Zugriff auf die Datenbank haben, muss sich der Inte- 
ressierte letztendlich selbst bei der internationalen Organisa- 
tion bewerben. Er kann allerdings dank des „Internationalen 
Personaldatenpools“ des Auswärtigen Amtes seine Aussich- 
ten für eine erfolgreiche Bewerbung realistisch einschätzen. 
Die vom Bewerber dort eingegebenen Daten werden nur von 
Mitarbeitern des „Koordinators für internationale Personal- 
politik“ im Auswärtigen Amts gelesen. Keine andere deut- 
sche oder internationale Organisation hat ohne Einverständ- 
nis des Betroffenen Zugriff. Um dies sicherzustellen, werden 
die Daten auf den Seiten des Auswärtigen Amtes im Internet 
mit einer zertifizierten SSL-Verschlüsselung versehen. 

Der Personaldatenpool ist mittlerweile unter der Adresse 
http ://www. aus waertiges -amt . de/www/de/aamt/j ob/j ob s_io/ 
personalpool_html ins Internet eingestellt worden. 

7 Innere Verwaltung, Statistik 

7.1 Asylrecht 

7.1.1 Wer kontrolliert Eurodac? 

ln meinem 17. TB (Nr . 5.7) habe ich ausführlich über die 
Regelungen des geplanten Europäischen dactyloskopischen 
Fingerabdrucksystems Eurodac berichtet. Über das Entste- 
hen der Eurodac-V erordnung, die im Dezember 2000 in 


Kraft getreten ist, habe ich im 18. TB (Nr. 5.2.3) informiert. 
Seitdem war es Aufgabe der Bundesrepublik Deutschland, 
die technischen und organisatorischen Voraussetzungen für 
die nationale Umsetzung dieser V erordnung zu schaf fen. 
Unter anderem waren ergänzende nationale Regelungen im 
Asyl- und Ausländerrecht sowie in der Asylzuständigkeits- 
verordnung erforderlich, um die angestrebte Aufnahme des 
Eurodac-Verfahrens in der Zentraleinheit in Luxemburg An- 
fang 2003 verwirklichen zu können. Bei der V orbereitung 
dieser Regelungen, an dene n mich das BMI beteiligt hat, 
konnte ich datenschutzrechtliche Verbesserungen erreichen. 
So wird z. B. das Bundesamt für die Anerkennung ausländi- 
scher Flüchtlinge ab der Realisierung des Zugrif fs auf die 
nationale Eurodac -Datenbank keine Fingerabdruckblätter 
von Asylbewerbern mehr Vorhalten bzw . in seinem IT-Sys- 
tem MARIS (vgl. Nr. 7.1.2) speichern. 

Einen weiteren Schwerpunkt bildeten die begleitenden Ar- 
beiten zur Errichtung der gemeinsamen Kontrollstelle, die 
nach Artikel 20 der Eurodac-V erordnung vorgesehen ist. 
Sie setzt sich aus V ertretem der nationalen Kontrollstellen 
zusammen, deren Aufgabe es is t, die Tätigkeit der Zentral- 
einheit daraufhin zu kontrollieren, ob durch die V erarbei- 
tung oder Nutzung der bei ihr vorhandenen Daten die 
Rechte der betroffenen Personen verletzt werden. Darüber 
hinaus kontrolliert sie die Rechtmäßigkeit der Übermitt- 
lung personenbezogener Daten an die Mitgliedsstaaten 
durch die Zentraleinheit. An der Gestaltung der Geschäfts- 
ordnung der gemeinsamen Kontrollstelle habe ich intensiv 
mitgewirkt. Dabei habe ich erre icht, dass diese eine ähnli- 
che Ausgestaltung erhalten hat, wie sie bereits die Ge- 
schäftsordnungen der Kontrollinstanzen für Europol und 
Schengen besitzen. 

Über die Aufnahme des Wirkbetriebs und erste Praxiserfah- 
rungen werde ich in meinem nächsten Tätigkeitsbericht in- 
formieren. 

7.1.2 Systems MARIS im Bundesamt für die 
Anerkennung ausländischer Flüchtlinge 
eingeführt 

Bereits in meinem letzten Tätigkeitsbericht (Nr. 5.2.2) habe 
ich über das W orkflowsystem Migration Asyl Relntegra- 
tionsSystem (MARIS, früher IT -2000) beim Bundesamt für 
die Anerkennung ausländischer Flüchtlinge (BAF1) berich- 
tet. MARIS, das weitestgehend papierlos arbeitet, hat das 
bisherige System ASYLON abgelöst, da dieses nicht mehr 
den gestiegenen Anforderungen entsprach. Während der 
Evaluierungsphase wurde das Sy stem in fünf Außenstellen 
des BAF1 (Hamburg, Berlin, Lebach, Zirndorf, Dortmund) 
im Echtbetrieb getestet. Seit Herbst 2002 ist es flächende- 
ckend eingeführt, d. h. alle Arbeitsplätze sind nunmehr an- 
geschlossen. Im Juli 2002 habe ich mich in der Außenstelle 
Zirndorf über den Sachstand bei der Einführung von 
MARIS informiert. Ich könnt e mich davon überzeugen, 
dass meine datenschutzrechtlichen Forderungen umgesetzt 
worden sind. Insbesondere die vorgesehene Protokollierung 
aller Zugriffe nach einem mi t mir abgestimmten Zufalls- 
prinzip entspricht den Belangen des Datenschutzes (s. auch 
7.1.3). 

Darüber hinaus ist ein Projekt mit Verwaltungsgerichten und 
Ausländerbehörden geplant, da s den elektronischen Daten- 
austausch mittels qualifizierter digitaler Signatur vorsieht. 
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Die digitale Signatur soll auch in MARIS übernommen 
werden. Die gescannten Dokumente werden dabei mit der 
digitalen Signatur versehen und haben dann denselben Be- 
weiswert wie Papierdokumente. 

7.1.3 Telearbeitsplätze von Einzelentscheidern 
im Bundesamt für die Anerkennung 
ausländischer Flüchtlinge - unter engen 
Voraussetzungen vertretbar 

Nach einer Absprache zwischen dem Präsidenten des BAF1 
und mir ist - zunächst im Ra hmen eines Pilotprojektes - 
15 Einzelentscheidern des BAF1 in diesem besonders sen- 
siblen Arbeitsbereich T elearbeit unter bestimmten, engen 
Voraussetzungen angeboten worden. Das Pilotprojekt war 
auf zwei Jahre befristet und endete mit Ablauf des Jahres 
2002. Danach soll das BAF1 absprachegemäß über seine Er- 
fahrungen berichten, bevor über das weitere Verfahren ent- 
schieden wird. Ich werde die Entwicklung auch in Zukunft 
begleiten. 

Die Kontrolle solcher Telearbeitsplätze ist einer der Schwer- 
punkte meiner letzten Informations- und Kontrollbesuche 
beim BAF1 im Juli und November 2002 gewesen. Dabei 
habe ich sowohl die technischen Rahmenbedingungen als 
auch den eigentlichen Arbeitsablauf am Büro- und am Tele- 
arbeitsplatz kontrolliert. Grundlage für die Arbeit des Ein- 
zelentscheiders am Telearbeitsplatz sind die in der „Dienst- 
anweisung Einzelentscheider“ festgelegten Kriterien, die 
auch von mir positiv bewertet werden. Darüber hinaus ist 
u. a. eine umfangreiche Protokollierung vor gesehen. So 
werden sowohl die Zugriffe des Einzelentscheiders auf die 
Datenbank MARIS an seinem T elearbeitsplatz als auch die 
Zugriffe des Referatsleiters auf die elektronischen Arbeits- 
körbe des Einzelentscheiders zu 100 % protokolliert. Alle 
weiteren Zugriffe werden nach einem mit mir abgestimmten 
Zufallsprinzip festgehalten. 

7.1.4 Bundesbeauftragter für 
Asylangelegenheiten trennt 
sich von seinen Altakten 

Im Frühjahr 2001 habe ich beim Bundesbeauftragten für 
Asylangelegenheiten (BBfA) einen datenschutzrechtlichen 
Kontroll- und Informationsbesuch durchgeführt. Der nach 
§ 6 Asylverfahrensgesetz beim BAF1 seit 1965 eingerichtete 
Bundesbeauftragte kann sich an den Asylverfahren vor dem 
Bundesamt und an Klageverfahren vor den V erwaltungs- 
gerichten beteiligen und gegen Entscheidungen des Bundes- 
amtes klagen. Schwerpunkt meiner Kontrolle war der 
Verfahrensablauf innerhalb der Dienststelle sowie die V er- 
waltung des Aktenbestandes, der bis Mitte 1995 in Papier- 
form und danach auf elektronischem Weg erfasst worden ist. 
Zu den Arbeitsabläufen in den Fachreferaten waren Bemer- 
kungen und Anregungen aus datenschutzrechtlicher Sicht 
nur in geringem Umfang erforderlich. Hingegen musste ich 
feststellen, dass zum Zeitpunkt meiner Kontrolle der ge- 
samte seit Errichtung der Dienststelle entstandene Aktenbe- 
stand noch erhalten war . Zwar bestehen für die Dauer der 
Aufbewahrung von Asylverfahrensakten, mit Ausnahme der 
Regelungen für erkennungsdienst liehe Unterlagen, keine 
weiteren einschlägigen V orschriften, gleichwohl hat das 
BAF1 verwaltungsinterne Aufbewahrungs- und Löschungs- 
fristen vorgegeben. Vergleichbare Regelungen bestanden 


beim BBfA aber nicht. Da auf den Altaktenbestand praktisch 
nicht mehr zugegriffen wird und weil sich ein Vergleich mit 
BAFl-Akten ähnlichen Inhalts anbietet, habe ich eine an den 
Vorgaben des B AF1 orientiert e Vemichtungsregelung gefor- 
dert. Der BBfA hat daraufhin in einem ersten Schritt die ge- 
samten Aktenbestände vernichten lassen, die bis zum 3 1 . De- 
zember 1985 angelegt worden sind. Akten späterer Jahigänge 
werden sodann schrittweise der Vernichtung zugeführt. Eine 
solche Vorgehensweise halte ich für sachgerecht. 

7.2 Neues Sicherheitsmerkmal für Pässe und 
Personalausweise - das Identigramm 

Auch nach dem Verkauf der Bundesdruckerei GmbH an ein 
privates ausländisches Unternehmen im Dezember 2000 be- 
steht meine umfassende Kontrollzuständigkeit für die Ein- 
haltung datenschutzrechtlicher Vorschriften bei der Herstel- 
lung von personalisierten Dokumenten durch die 
Bundesdruckerei GmbH fort. 

Bei einem Informations- und Kontrollbesuch im März 2002 
habe ich schweipunktmäßig den (technischen) Ablauf der 
Fertigung von so genannten Identigrammen kontrolliert, die 
seit Oktober 2001 generell auf Personalausweisen und Päs- 
sen aufgebracht werden (vgl. Abbildung 2). 

Ein Identigramm ist ein Sicherheitsmerkmal, durch das Teile 
der Pass- oder Ausweiskarte holographisch wieder gegeben 
werden. Durch die Einführung dieses Sicherheitsmerkmals 
soll die Fälschungssicherheit der Pass- sowie Ausweiskarte 
weiter erhöht werden. Neben Bewegungsstrukturen, die 
über dem herkömmlichen Lichtbild angebracht sind, enthält 
das Identigramm zudem eine maschinenlesbare Struktur (so 
genannter roter Punkt), die neben dem maschinellen Lesen 
der Ausweise zur Unterstützung der Sichtkontrolle auch 
eine maschinelle Echtheitsprüfung ermöglicht. Die Struktur 
beinhaltet weder personen- noch dokumentenbezogene Da- 
ten. Hervorzuheben ist, dass das Identigramm nicht kopiert 
werden kann. Bei der Kontrolle konnte ich mich davon über- 
zeugen, dass die Fertigung (i nsbesondere die technische 
Ausgestaltung und der Ablauf des V erfahrens) datenschutz- 
rechtlichen Anforderungen entspricht. 

7.3 Novellierung des Melderechtsrahmen- 
gesetzes - kein datenschutzrechtlicher 
Fortschritt 

Über meine Forderungen zur Novellierung des Melde- 
rechtsrahmengesetzes habe ich bereits in meinem 18. TB 
(Nr. 5.7) informiert. Nach Vorlage des Entwurfs eines Drit- 
ten Gesetzes zur Änderung des Melderechtsrahmengesetzes 
durch das BMI hat sich auch die Konferenz der Daten- 
schutzbeauftragten des Bundes und der Länder mit den vor- 
gesehenen Änderungen befasst und eine Entschließung 
(s. Anlage 10) verabschiedet. Darin wurden u. a. Bedenken 
zum geplanten Zusammenschluss mehrerer Melderegister , 
zur Möglichkeit einer einfachen Meldregisterauskunft über 
das Internet sowie zur Risikoabwägung bei einer Auskunfts- 
sperre erhoben, wenn eine Gefahr für Leben, Gesundheit, 
persönliche Freiheit oder ähnliche schutzwürdige Belange 
des Betroffenen glaubhaft gemacht wird. W eiterhin wurde 
die Abschaffung der Hotelmeldepflicht und bei Auskünften 
an Parteien, Wähler gruppen und andere T räger von Wahl- 
vorschlägen anstelle der bisherigen Widerspruchslösung die 
Einwilligung des Betroffenen gefordert. 
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Obwohl als ein Ziel der Novellierung ausdrücklich die V er- 
besserung des Datenschutzes aufgeführt war , wurden die 
vorgenannten Datenschutzforderungen überwiegend nicht 
erfüllt. Lediglich der geplante Zusammenschluss mehrerer 
Melderegister wurde fallen gelassen und bei Melderegister- 
auskünften mithilfe des Internets die Mindestforderung der 
Datenschutzbeauftragten - nä mlich die W iderspruchsmög- 
lichkeit des Betrof fenen — berücksichtigt. Selbst die vom 
BMI zunächst vorgesehene Abschaffung der Hotelmelde- 
pflicht wurde nicht realisiert. Damit bleibt diese millionen- 
fache Datenerhebung weiterhin unverändert bestehen, ob- 
gleich sie in der V ergangenheit nicht zu nachweisbarem 
Nutzen geführt hat. 

Das Gesetz zur Änderung des Melderechtsrahmengesetzes 
und anderer Gesetze wurde vom Bundestag mit Zustim- 
mung des Bundesrates beschlossen und am 3. April 2002 im 
Bundesgesetzblatt (BGBl 1 S. 1186) verkündet. 

Ich bedauere, dass der datens chutzrechtliche Standard des 
Melderechtsrahmengesetzes nach wie vor wenig befriedi- 
gend ist. Gerade in diesem Be reich gibt es besonders viele 
Beschwerden der Bürger, die sich insbesondere gegen die 
Auskünfte an Parteien sowie gegen die einfache Melde- 
registerauskunft an jedermann richten, weil die Bürger hier- 
durch ihre informationeile Selbstbestimmung - nämlich 
grundsätzlich selbst über die Preisgabe und Verwendung ih- 
rer persönlichen Daten zu bestimmen - gefährdet sehen. 

7.4 Datenschutzgesetz für die Suchdienste - 
eine endliche Geschichte? 

Aufgrund meiner Hinweise auf fehlende Datenschutzrege- 
lungen hat die Bundesregier ung bereits im Sommer 1998 
ihre Bereitschaft erklärt, die Verarbeitung und Nutzung per- 
sonenbezogener Daten durch den Suchdienst des Deutschen 
Roten Kreuzes und die kirchlichen Suchdienste sobald wie 
möglich gesetzlich zu regeln, ln meinem 18. TB (Nr . 5.4) 
habe ich über einen ersten Entwurf eines Suchdienstedaten- 
schutzgesetzes berichtet, der aber noch nicht mit den Res- 
sorts und den betrof fenen Organisationen abgestimmt war. 
Auch im Berichtszeitraum ist es dem BMI trotz zahlreicher 
Gespräche und Abstimmungen mit meinem Hause nicht ge- 
lungen, dem Parlament entsprechende gesetzliche Regelun- 
gen vorzulegen. V ielmehr ist der Gesetzentwurf wegen 
BMl-interner Abstimmungsschwierigkeiten noch nicht in 
die Ressortabstimmung gelangt. Das BMI hat mich Ende 
September 2002 darüber unterrichtet, dass das Gesetzesvor- 
haben nunmehr in dieser Legislaturperiode in V erbindung 
mit einem wichtigen Datenschut zprojekt verwirklicht wer- 
den soll. Ich werde über die Fortentwicklung berichten. 

7.5 Dopingopfer-Hilfe - datenschutz- 
freundlich geregelt 

Im Frühjahr 2002 ist mir vom BM der Entwurf eines Gesetzes 
über eine finanzielle Hilf e für Dopingopfer der DDR (Do- 
pingopfer-Hilfegesetz) zur kurzfristigen Stellungnahme zuge- 
leitet worden. Darin ist vogesehen, Hochleistungssportler und 
-nachwuchssportler, die im staatlichen Auftrag der ehemaligen 
DDR gedopt worden sind, aus hunanitären und sozialen Grün- 
den finanziell und moralisch zu unterstützen. Zu diesem 
Zweck soll ein Hilfefonds beim Bundesverwaltungsamt 
(B VA) eingerichtet werden. Ich habe bemängelt, dass der Ent- 
wurf nicht erkennbar macht, inweicher Form das B\Aund der 


beim BMI einzurichtende Beir at die von den Anspruchsbe- 
rechtigten übermittelten personenbezogenen Daten verarbei- 
ten und nutzen soll. Da es sich bei diesen Daten um sehr sen- 
sible Daten handelt, habe ich dringend empfohlen, im Gesetz 
nähere Regelungen über die Verarbeitung und Nutzung dieser 
Daten zu treffen. Durch die Einfügung eines eigenen Paragra- 
fen „Datenschutz“ in den Gesetzentwurf hat die Bundesregie- 
rung meiner Empfehlung entsprochen. Das Gesetz ist am 
25. August 2002 in Kraft getreten (BGBl. 1 S. 3410). 

7.6 Das Stasi-Unterlagen-Gesetz und die 
Bundesbeauftragte für die Unterlagen 
des Staatssicherheitsdienstes 
der ehemaligen DDR 

7.6.1 Der „Fall Kohl“ und die Folgen für 
das Stasi-Unterlagen-Gesetz 

ln dem von der interessierten Öffentlichkeit und den Medien 
mit großer Aufmerksamkeit verfolgten Rechtsstreit zwi- 
schen dem ehemaligen Bundeskanzler Dr. Helmut Kohl und 
der Bundesbeauftragten für die Unterlagen des Staatssicher- 
heitsdienstes der ehemaligen DDR (BStU) hat das Bundes- 
verwaltungsgericht am 8. März 2002 das erstinstanzliche li- 
teil des Verwaltungsgerichts Berlin bestätigt und entschieden, 
die BStU dürfe die umstrittenen Unterlagen mit personenbe- 
zogenen Informationen über den Kläger nicht für die For- 
schung, die politische Bildung oder die Verwendung durch 
die Medien zur Verfügung stellen (BVerwGE 116, 104). Die- 
ses Urteil des Bundesverwaltung sgerichtes ist nach meiner 
Auffassung - wie schon das Urteil des V erwaltungsgerichts 
Berlin - überzeugend. Es stellt unmissverständlich klar, dass 
auch Personen der Zeitgeschichte - sofern se nicht Mitarbei- 
ter oder Begünstigte der Staatssicherheit waren — eine Her- 
ausgabe von Unterlagen mit ihren personenbezogenen Daten 
nicht hinnehmen müssen, wenn sie insbesondere durch die 
Art der Beschaffung dieser Unterlagen selbst zu Opfern des 
DDR-Regimes geworden sind. Angesichts dieses Urteils sah 
sich die BStU gehindert, ihren Aufgaben hinsichtlich der his- 
torischen, politischen und juristischen Aufarbeitung der Tä- 
tigkeit des Staatssicherheitsdienstes in dem bisherigen Um- 
fang nachzukommen, soweit dadurch Personen der 
Zeitgeschichte, Inhaber politischer Funktionen oder Amts- 
träger betroffen waren. Die Koalitionsfraktionen von SPD 
und BÜNDNIS 90/DIE GRÜNEN haben deshalb noch im 
Juni 2002, kurz vor Ende der Legislaturperiode, den Entwurf 
eines Fünften Gesetzes zur Änderung des Stasi-Unterlagen- 
Gesetzes (Bundestagsdrucksache 14/9219) eingebracht. Die- 
ser Entwurf beinhaltete folgende Änderungsvorschläge: 

- § 32 des Stasi-Unterlagen-Gesetzes (StUG) sollte weitge- 
hend neu gefasst werden, um personenbezogene Infonna- 
tionen über Personen der Ze itgeschichte, Inhaber politi- 
scher Funktionen oder Amtsträger für die historische und 
politische Aufarbeitung der Tätigkeit des Staatssicher- 
heitsdienstes zugänglich zu machen, soweit deren zeitge- 
schichtliche Rolle bzw. das funktions- oder amtsbezogene 
Wirken dieser Personen betrof fen sind. Das bisherige 
Verbot der Herausgabe, falls diese Personen zugleich Op- 
fer der Staatssicherheit gewesen sind, sollte aufgehoben 
und durch eine Abwägungsklausel ersetzt werden. 

- Ein neuer § 32a sollte in das StUG eingeführt werden, 
der die Benachrichtigung des Betroffenen und die Mög- 
lichkeit, Einwendungen zu erheben, regelt. 
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- § 14 StUG und damit der Anspruch von Betrofenen oder 
Dritten auf Anonymisierung bzw . Löschung von perso- 
nenbezogenen Infonnationen sollte gestrichen werden. 

Ich habe mich in schriftlichen Stellungnahmen, zwei Anhö- 
rungen vor dem Innenausschuss des Deutschen Bundestages 
und in einer weiteren Anhörung der CDU/CSU-Bundestags- 
fraktion allgemein zu dem Regelungsbedarf sowie dem kon- 
kreten Gesetzentwurf geäuße rt. Dabei habe ich insbeson- 
dere betont, dass ausweislich der in § 1 des Gesetzes 

aufgelisteten Ziele das StUG in erster Linie ein Opfer- 
schutzgesetz ist. ln § 5 des Gesetzes ist zudem bestimmt, 
dass die V erwendung personenbezogener Informationen 
zum Nachteil der Opfer unzulässig ist. Eine Herausgabe von 
Informationen gegen den Willen des Betroffenen, insbeson- 
dere wenn diese unter Verletzung des Brief-, Post- und Fem- 
meldegeheimnisses oder unter Verstoß gegen die Unverletz- 
lichkeit der Wohnung gewonnen wurden, sei damit nicht zu 
vereinbaren. Damit ergäbe sich praktisch kein Spielraum für 
eine Interessenabwägung zu Ungunsten des Opfers. Die 
neue Regelung des § 32a über die Unterrichtung des Betrof- 
fenen habe ich grundsätzlich begrüßt und daraufhingewie- 
sen, dass Ausnahmen von der Benachrichtigungsp flicht nur 
in sehr eng begrenzten Fällen und auch nur dann in Betracht 
kommen könnten, wenn Nachteile für die betroffene Person 
auszuschließen seien. Allerdings habe ich auch zu § 32a des 
Entwurfs bemängelt, dass die betrof fene Person letztlich 
eine Herausgabe der sie betr effenden Infonnationen nicht 
verhindern kann und ihre Einwände lediglich von der BStU 
im Rahmen einer Interessenabwägung berücksichtigt wer- 
den. Zur Streichung des § 14 St UG habe ich daraufhinge- 
wiesen, dass nach Absatz 2 dieser Vorschrift eine Anonymi- 
sierung auf Antrag der Opfer ohnehin in den Fällen 
unterbleibt, die in der Begründung des Gesetzentwurfs als 
Argumente für eine Streichung angeführt wurden (Interes- 
sen anderer Personen oder Stehen am Fortbestand der Infor- 
mationen). Außerdem habe ich eine konkrete Gesetzesfor- 
mulierung vorgelegt, die in meinen Augen den Rechten der 
Opfer in angemessener Weise Rechnung getragen und aus- 
geschlossen hätte, dass sie durch eine Herausgabe gegen ih- 
ren Willen ein zweites Mal zu Opfern würden. 

Leider ist der Innenausschuss des Deutschen Bundestages 
meinen Vorschlägen nicht gefolgt und hat beschlossen, den 
Koalitionsentwurf unverändert dem Bundestagsplenum zur 
Beschlussfassung vorzulegen. 

Erst buchstäblich in letzter Minute wurde zwischen den Ko- 
alitionsfraktionen und der FD P-Bundestagsfraktion ein 
Kompromiss vereinbart, der durch einen gemeinsamen Än- 
derungsantrag für die zweite Lesung des Gesetzentwurfs 
eingebracht wurde. Dieser Kompromiss, an dem ich eben- 
falls mitgewirkt habe, sah vor , in die neu gefasste Abwä- 
gungsklausel des § 32 eine Bestimmung aufzunehmen, nach 
der bei der Abwägung insbesondere zu berücksichtigen sei, 
„ob die Infonnationserhebung erkennbar auf einer Men- 
schenrechtsverletzung“ beruhe, ln dieser Fassung ist das 
Gesetz vom Deutschen Bundestag schließlich beschlossen 
worden. Der Bundesrat hat darauf verzichtet, den V ermitt- 
lungsausschuss anzurufen, sodass das Fünfte Gesetz zur Än- 
derung des Stasi-Unterlagen-Gesetzes bereits am 6. Septem- 
ber 2002 in Kraft treten konnte (BGBl. I S. 3446). 

Ich halte die Änderungen des StUG insgesamt für vertretbar 
Die Rechte des Opfers sind durch den im parlamentarischen 


Verfahren ergänzten Satz gestärkt worden, auch wenn es 
letztlich bei der Abwägungsklausel verblieben ist. Ich kann 
mir indessen kaum vorstellen, dass die BStU Unterlagen mit 
personenbezogenen Infonnationen gegen den W illen eines 
früheren Stasi-Opfers herausgibt, die durch V erletzung des 
Brief-, Post- und Femmeldegeheimnisses, unter Verstoß ge- 
gen die Unverletzlichkeit der W ohnung oder durch eine 
sonstige Menschenrechtsverletzung gewonnen wurden. 

Ob die neue Regelung eine dauerhafte Grundlage für die 
weitere Arbeit der BStU darstellt, wird entscheidend auch 
von ihrer praktischen Handhabung abhängen. Diesbezüglich 
weiß ich aus eigener Anscha uung durch zahlreiche Bera- 
tungs- und Kontrollbesuche, wie sor gfältig und gewissen- 
haft in dieser Behörde der Umgang mit besonders heiklen 
personenbezogenen Daten gepflegt wird. 

7.6.2 Weitere Besuche bei der Bundes- 
beauftragten für die Unterlagen des 
Staatssicherheitsdienstes der ehemaligen 
DDR und ihren Außenstellen 

Im Berichtszeitraum habe ich sowohl die Zentrale in Berlin 
als auch zwei Außenstellen der BStU beraten und kontrol- 
liert. Schwerpunkt bei meinen Besuchen in der Zentrale war 
dabei das Verfahren der BStU im Umgang mit Stasi-Abhör- 
protokollen. Dabei habe ich Unterlagen von mir ausgewähl- 
ter Personen der Zeitgeschichte eingesehen, bei denen auf 
Antrag von Forschern und Medien Stasi-Unterlagen von der 
BStU herausgegeben wurden. Ich habe dabei den Eindruck 
gewonnen, dass in der Vergangenheit Stasi-Abhörprotokolle 
in der Praxis der BStU fast keine Rolle gespielt haben. Al- 
lerdings wurden in mehreren Fällen Stasi-Abhörprotokolle 
in Form von zusammenfassenden V ermerken herausgege- 
ben, was nach meiner Rechtsauf fassung nicht zulässig ist. 
Von einer formalen Beanstandung habe ich wegen des da- 
mals laufenden Rechtsstreits mit dem früheren Bundeskanz- 
ler Dr. Kohl und der dann erfolgten Änderung des Stasi-Un- 
terlagen-Gesetzes abgesehen. 

Bei meinen Besuchen in den Außenstellen der BStU habe ich 
erneut einen sorgfältigen und gewissenhaften Umgang mit 
den äußerst sensiblen Unterlag en festgestellt. Der Schwer- 
punkt meiner Kontrollen war dabei wieder das \6rfahren der 
BStU bei Anträgen auf Auskunft und Einsicht in die Unter- 
lagen des ehemaligen Staatssicherheitsdienstes sowie die au- 
tomatisierte Datenverarbeitung. Soweit von mir Mängel fest- 
gestellt wurden, sind diese umgehend behoben worden. 

Für das im letzten Tätigkeitsbericht angesprochene Problem 
bei der Behandlung von Besuchern bei der BStU wurde fol- 
gende Lösung gefunden: Besucher brauchen ihren Personal- 
ausweis für die Dauer des Besuches nicht mehr zu hinterle- 
gen. Allerdings besteht die BStU aus Gründen der 
Sicherheit und des Nachweises weiterhin darauf, dass die 
Besucher einen — abgespeckten - Besucherschein ausfüllen. 
Sie hat sich ferner bereit erklärt, die Besucherscheine nach 
drei Monaten zu vernichten. Die Dauer der Aufbewahrung 
habe ich nochmals hinterfragt. 

Bei meinen Besuchen habe ich auch die Gebäudeüber- 
wachung durch V ideokameras überprüft und auf die geän- 
derte Rechtslage nach Einführung des neuen § 6b BDSG im 
Jahre 2001 hingewiesen (vgl. hierzu auch Nm. 3.2.2 und 4.1). 
Auch hier ist die BStU mein en Anregungen gefolgt und hat 
öffentlich zugängliche Räume mit Hinweisbeschilderung auf 
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eine Videoüberwachung versehen und sich verpflichtet, 
Videoaufzeichnungen nach spätestens 24 Stunden zu löschen, 
wenn sie nicht zur Klärung eines Vorfalls benötigt werden. 

7.7 Staatsangehörigkeitsdatei - immer noch 
keine Rechtsgrundlage 

ln meinem 16. TB (Nr . 5.7) hatte ich ausführlich über die 
beim Bundesverwaltungsamt geführte Staatsangehörigkeits- 
datei berichtet und in den folgenden 17. TB (Nr . 5.14) und 
18. TB (Nr. 5.9) jeweils die hierfür erforderliche Rechts- 
grundlage angemahnt. Leider ist auch in dem abgelaufenen 
Berichtszeitraum noch keine gesetzliche Regelung getroffen 
worden, weil bei der Neustr ukturierung der Staatsangehö- 
rigkeitsdatei der Abstimmungsprozess mit den Ländern 
noch nicht abgeschlossen werden konnte. Hierfür wurde bei 
dem federführend zuständigen BMI eine Arbeitsgruppe ein- 
gerichtet, um alle Staatsangehörigkeits- und Einbürgerungs- 
fragen zu klären. An dieser Arbeitsgruppe bin auch ich be- 
teiligt. Aufgrund der dort bis jetzt erzielten Ergebnisse gehe 
ich davon aus, dass ich im nächsten Tätigkeitsbericht end- 
lich über einen positiven Abschluss dieses datenschutz- 
rechtlichen Problems berichten kann. 

7.8 Wahlen 

7.8.1 Bundeswahlgesetz - jetzt endlich 
datenschutzfreundlicher 

Durch das Fünfzehnte Gesetz zur Änderung des Bundes- 
wahlgesetzes, das am 4. Mai 2001 verkündet wurde (BGBl. 1 
S. 698) und inzwischen in Kraft getreten ist, hat sich endlich 
meine langjährige Forderung erfüllt, die öf fentliche Aus- 
legung des Wählerverzeichnisses abzuschaf fen (zuletzt 
18. TB Nr. 5.10.2). Die Auslegung wurde durch das Recht 
zur Einsichtnahme in das Wähl «Verzeichnis ersetzt. Falls 
die Daten anderer Wahlberechtigter eingesehen werden sol- 
len, müssen Tatsachen glaubhaft gemacht werden, aus de- 
nen sich eine Unrichtigke it oder Unvollständigkeit des 
Wählerverzeichnisses ergeben könnte. Daten von W ahlbe- 
rechtigten, für die im Meldereg ister ein so genannter Sperr- 
vermerk eingetragen ist, dürfen nicht eingesehen werden. 

Um die Gewinnung von W ahlhelfern zu erleichtern, dürfen 
ferner die Gemeindebehörden personenbezogene Daten von 
Wahlberechtigten auch für künftige Wahlen verarbeiten. Der 
Betroffene kann der V erarbeitung widersprechen und ist 
über sein Widerspruchsrecht zu unterrichten. Um die Beru- 
fung von Wahlhelfern zu erleichtern, können sich die Ge- 
meindebehörden außerdem an Behörden und sonstige juris- 
tische Personen des öf fentlichen Rechts wenden, die dann 
verpflichtet sind, aus dem Kreis ihrer Mitarbeiter diejenigen 
zu benennen, die im Gebiet der ersuchenden Gemeinde 
wohnen. Die ersuchte Stehe hat den Betrof fenen entspre- 
chend zu unterrichten. 

7.8.2 Sind Online-Wahlen technisch möglich 
und erstrebenswert? 

Die Bundesregierung prüft seit längerem, inwieweit politi- 
sche Wahlen elektronisch unterstützt werden können. Hierzu 
wurde im BMI eine Arbeitsgruppe „Online-W ahlen“ einge- 
richtet, die im Dialog zwischen Informatikern, Juristen und 
Wahlorganisatoren die entsprechenden technischen, recht- 


lichen und organisatorischen Anforderungen erarbeitet und 
an der ich beteiligt bin. Es wi rd angestrebt, bis zur Bundes- 
tagswahl 2006 die W ahllokale so zu vernetzen, dass die 
Wahlberechtigten nicht mehr nur in dem Wählbezirk, in dem 
sie wohnen, sondern in jedem beliebigen Wahllokal wählen 
können. Damit soll der zunehmenden Mobilität der W ahl- 
berechtigten aufgrund beruflicher Anforderungen oder per- 
sönlicher Wünsche Rechnung getragen werden. Als Fernziel 
wird die Stimmabgabe vom heimischen PC aus oder per 
Handy anvisiert. 

Für die Stimmabgabe auf elektronischem W ege stellen die 
rechtlichen Anforderungen des Artikels 38 GG zum T eil 
hohe Hürden dar, die nicht leicht zu bewältigen sind: 

— Die geheime Wahl erfordert eine technische Gestaltung 
des Wahlvorganges, die es unmöglich macht, die W ahl- 
entscheidung eines Wählers zu erkennen oder zu rekons- 
truieren. Das bedeutet, dass das W ahlverhalten auch 
nach der Stimmabgabe dauerhaft geheim bleiben muss. 
Dies ist bei den heute eingesetzten Verschlüsselungsver- 
fahren nicht zu gewährleiste n, da eine zeitlich uneinge- 
schränkte Sicherheitsaussage kaum möglich ist. Völlig 
ungelöst ist darüber hinaus bei einer Stimmabgabe vom 
heimischen PC aus oder pe r Handy die Sicherstellung 
der unbeobachteten Wahlentscheidung. 

— Die freie Wahl meint die Ausübung des aktiven W ahl- 
rechts ohne physischen Zwang oder psychischen Druck. 
Dies ist u. a. nur dann gewährleistet, wenn die eigent- 
liche Wahlentscheidung ohne direkte Beeinflussung 
durchgeführt wird. 

— Die Gleichheit der Wahl garantiert, dass die Stimme je- 
des Wählers den gleichen Zählwert hat. Es muss also 
insbesondere sichergestellt werden, dass Mehrfachabga- 
ben desselben Wählers sicher erkannt und ausgeschlos- 
sen werden können. 

Außerdem sind folgende Anforderungen technisch zu ge- 
währleisten (vgl. hierzu Nr. 11.1 .2): 

— Die zur Stimmabgabe gewählte T echnik muss am T ag 
der Wahl absolut sicher verfügbar und funktionsfähig 
sein. 

— Sowohl das Wählervotum als auch die ermittelten Wahl- 
ergebnisse müssen bei der Übertragung und bei der an- 
schließenden Speicherung sicher gegenüber Manipulati- 
onen sein. 

— Derzeit wird der Kreis der W ahlberechtigten über Wäh- 
lerverzeichnisse festgelegt. Auch bei der Durchführung 
der Online-Wahl muss es möglich sein zu überprüfen, ob 
derjenige, der ein Votum abgeben will, auch wahlberech- 
tigt ist. 

Eine Wahl über das Internet ist mit der heute verfügbaren 
Technik und Software kaum vorstellbar. Selbst wenn die 
technischen Probleme gelöst werden könnten, müssten zu- 
vor Akzeptanz und V ertrauen der Wähler in eine solche 
Wahl reifen. Schließlich stellt sich noch die Frage, ob eine 
Online-Wahl vom heimischen PC aus oder per Handy über- 
haupt in unsere W ahlkultur passt. Es ist fraglich, ob eine 
derart beiläufige Stimmabgabe der politischen Bedeutung 
der Wahlhandlung als maßgeblichem demokratischen Ele- 
ment gerecht wird. 
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7.9 Volkszäh lungstest - Ist die Bürger- 
befragung zukünftig überflüssig? 

Auf der Grundlage des Gesetzes zur Vorbereitung eines re- 
gistergestützten Zensus vom 27. Juli 2001 (BGBl. 1 S. 1882) 
wird im Augenblick getestet, ob die Dateien der Verwaltung 
geeignet sind, bei zukünftigen Volkszählungen die Befra- 
gungen der Bürger zu ersetzen. 

Ich habe den Über gang zu dieser neuen Methode als T est 
befürwortet, damit aber zugleich die Beachtung daten- 
schutzrechtlicher Erfordernisse verknüpft (vgl. im Einzel- 
nen meinen 18. TB Nr. 30.1). Meinen Empfehlungen wurde 
in vollem Umfang entsprochen. 

Die Testerhebungen und Auswertungen sind im Gange: Am 
5. Dezember 2001 startete der Testlauf mit der Befragung 
der Bewohner der Auswahlgebäude. Die Testdaten der Mel- 
deregister wurden im Januar und Mai 2002 angefordert. Da- 
ran schloss sich die Überprüfung der Mehrfachfälle (z. B. 
wegen mehrerer oder unklarer Registereintragungen) an, die 
im November 2002 abgeschlossen wurde. V on den insge- 
samt 971 037 Personendatensätzen wurden 57 015 nicht 
eindeutig identifiziert, von denen blieben wiederum durch 
mehrfache statistische Überarbeitung nur noch 9 159 Befra- 
gungsfähe (knapp 1 %) übrig, die durch schriftliche und te- 
lefonische Rückfragen oder durch Erhebungsbeauftragte 
geklärt wurden. Die anderen Primärerhebungen, d. h. die di- 
rekt beim Bür ger durchgeführten Befragungen zur Ge- 
bäude- und W ohnungsstichprobe wurden ebenfalls im 
Herbst 2002 beendet. Bis Ende 2002 liefen die Register - 
und Verfahrenstests mit den Angaben der Bundesanstalt für 
Arbeit. Mit dem Kernstück der T estläufe - der Haushaltge- 
nerierung (das ist die statistische Zuordnung von Personen 
zu Haushalten) - wurde noch in 2002 begonnen. Die statis- 
tisch errechneten Haushalte werden im Anschluss daran mit 
den Angaben aus der Haushaltsstichprobe ver glichen, um 
die Qualität der statistischen Programme zu überprüfen. 

ln der Vergangenheit wurden immer wieder Bedenken gegen 
den Testlauf vorgebracht, weil neben den der statistischen 
Auswertung dienenden Erhebungsmerkmalen viele Hilfs- 
merkmale erfasst wurden. Diese Bedenken greifen allerdings 
nicht, weil die größere Zahl an Hilfsmerkmalen benötigt 
wird, um Personenangaben aus verschiedenen Beständen zu- 
sammenzufassen und personenüber greifende Zusammen- 
hänge, wie den Haushalt, zu ermitteln. Sie sind also — wie die 
Bezeichnung schon sagt - „technische“ Hilfsgrößen, die zum 
frühestmöglichen Zeitpunkt wieder gelöscht werden. Unpro- 
blematisch ist auch, dass für den Tstlauf mehr Hilfsmerkmale 
als letztlich benötigt herangezogen wurden, weil nur so fest- 
stellbar sein wird, welche Angäben sich als „stabil“ erweisen 
und auf welche Merkmale künftig verzichtet werden kann. 

Unabhängig hiervon wurde problematisiert, warum identi- 
fizierende Daten nicht gleich zu Anfang verschlüsselt 
werden. Das Problem ist, da ss Daten von verschiedenen 
Personen bzw. von einer Person aus verschiedenen Meldere- 
gistem im Rahmen der Me hrfachfallprüfüng, der Haus- 
haltgenerierung und der Erwe rbstätigenberechnung zusam- 
mengeführt werden müssen. Eine V erschlüsselung würde 
voraussetzen, dass die Angabe n in den Registern immer 
gleich geschrieben werden, um zu gleichen verknüpfbaren 
Pseudonymen zu kommen. Diese Bedingung ist jedoch häu- 
fig nicht erfüllt, wie aus unter schiedlichen Namensschreib- 
weisen und Buchstabendarstellungen (z. B. „ß“) bekannt ist. 


Im unverschlüsselten Zustand können solche Mängel mit- 
hilfe statistischer V erfahren ausgeglichen werden. Außer- 
dem muss bei der Klärung von Zweifelsfällen eine Rückco- 
dierung in Namen etc. möglich sein. Die V erschlüsselung 
müsste daher nach einem festen System erfolgen, damit 
gleicher Name zu gleicher alphanumerischer V erknüpfüng 
führt. Eine solche V erfremdung wäre jedoch leicht zu ent- 
schlüsseln; sie brächte keinen verbesserten Datenschutz, zu- 
mal das gesamte Auswertungsverfahren im abgeschotteten 
Bereich der amtlichen Statistik läuft. 

Kritisch hinterfragt wurde auch die bestehende Auskunfts- 
pflicht für die Befragten. Da die mit der Volkszählung ver- 
folgten Zwecke wie Festlegung der genauen Einwohnerzah- 
len für Bund, Länder und Gemeinden exakte Daten 
voraussetzen, um Auswahlgrundlage sowie Hochrech- 
nungsrahmen für weitere Stichprobenerhebungen zu sein, 
kann nach Feststellung des W issenschaftlichen Beirats bei 
den Untersuchungen auf die Auskunftspflicht nicht verzich- 
tet werden. Erhebungen auf freiwilliger Basis würden wegen 
erwiesenermaßen zu geringer T eilnahmequote von 50 bis 
60 % zu große Unsicherheitsfaktoren beinhalten, ln der 
amtlichen Statistik ist kein Land bekannt, das eine V olks- 
zählung auf freiwilliger Basis durchführt. Zwischen 1985 
und 1994 erfolgten weltweit 241 Volks- und Wohnungszäh- 
lungen, mit denen 95 % der geschätzten W eltbevölkerung 
erfasst wurden. Die Zensen fanden in Form von reinen Pri- 
märerhebungen (in Frankreich, Griechenland, Schweiz, Ja- 
pan), reinen Registerauswertungen (in Dänemark, Finnland) 
oder Kombinationen aus beiden (in Schweden, Belgien), als 
Vollerhebung mit ergänzender Stichprobe (in den USA, Ka- 
nada, Polen) oder als Registerauswertung mit Stichprobe (in 
den Niederlanden) statt. 

Ich habe bisher nur wenige Eingaben zum V olkszählungs- 
test erhalten. Dabei handelt es sich im W esentlichen um 
Probleme bei der Stichprobenbefragung oder der Mehrfach- 
fallprüfung. Sicherlich wendet sich nicht jeder Bür ger 
gleich an den Bundesbeauftragten, wenn er sich in seinen 
schutzwürdigen Belangen verletzt fühlt. Dennoch halte ich 
die geringe Zahl von Beschwerden für ein Symptom des 
grundsätzlich vorherrschenden Vertrauens in das neue Test- 
verfahren. Dazu hat sicherlich die kontinuierliche Betei- 
ligung der Datenschutzbeauftragten beigetragen. Ich be- 
obachte und begleite auch die weiteren V erfahrensschritte, 
wenngleich sich erst nach Abschluss der T estphase die Er- 
gebnisse unter Berücksichtigung der Erfahrungsberichte der 
Statistischen Ämter einer da tenschutzrechtlichen Gesamt- 
würdigung unterziehen lassen. 

7.10 Wiedergutmachung für NS-Opfer 

Im Berichtszeitraum war der BfD mit der datenschutzrecht- 
lichen Begleitung verschiedener Projekte und Verfahren zur 
Wiedergutmachung für NS-Opfer befasst. Dies betraf zum 
einen die Stiftung „Erinnerung, V erantwortung und Zu- 
kunft“, für die das „Gesetz zur Errichtung einer Stiftung Er- 
innerung, Verantwortung und Zukunft“ vom 2. August 2000 
(BGBl. I S. 1263 f f.) die Grundlage schuf. Zum anderen 
ging es um ein Projekt zur Nachweisbeschaf füng für NS- 
Zwangsarbeiter, das ehemalige Zwangsarbeiterbei der Re- 
cherche von Nachweisen für eine Entschädigungsberechti- 
gung unterstützt. Auch im Bereich der Entschädigung von 
Holocaust-Opfern durch die Versicherungswirtschaft waren 
datenschutzrechtliche Fragen zu klären und zu lösen. 
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7.10.1 Die Stiftung „Erinnerung, Verantwortung 
und Zukunft“ 

Mit Gesetz vom 2. August 2000 wurde die Stiftung „Erinne- 
rung, Verantwortung und Zukunft“ als rechtsfähige Stiftung 
des öffentlichen Rechtes errichtet. 

Zweck der Stiftung ist es, über Partnerorganisationen Finanz- 
mittel zur Gewährung von Leistungen an ehemalige 
Zwangsarbeiter und von anderem Unrecht aus der Zeit des 
Nationalsozialismus Betroffene bereitzustellen. 

Aus der Tätigkeit der Stiftung ergaben sich eine Reihe daten- 
schutzrechtlicher Fragen, bei denen ich beratend tätig wurde. 
Insbesondere ging es dabei um die Datenübermittlung durch 
Unternehmen, die bereits Entschädigungsleistungen an ehe- 
malige Zwangsarbeiter geleistet hatten, sowie den Datenab- 
gleich mit dem österreichischen Versöhnungsfonds sowie den 
Datenbeständen ausländischer Partneror ganisationen. Im 
Vordergrund stand dabei stets das Bemühen, mit Blick auf das 
vielfach sehr hohe Alter der Antragsteller die Auszahlung der 
Entschädigungsleistungen nicht zu verzögern und dabei 
gleichzeitig den Schutz des Persönlichkeitsrechts der Antrag- 
steller zu wahren. Aufgrund der gesetzlichen Anrechungsvor- 
schriften im Stiftungsgesetz und der von den Antragstellern 
in den Antragsformularen erteilten Einverständniserklärun- 
gen konnten die für den Nachweis der Leistungsberechtigung 
erforderlichen Datenabgleiche stattfinden. 

Für die Stiftung wurde ein Datenschutzbeauftragter besteht. 
Anlässlich einer ausführlichen datenschutzrechtlichen Bera- 
tung vor Ort konnte festgesteht werden, dass die technisch- 
organisatorischen Maßnahmen zur Datensicherheit der V er- 
arbeitung bei der Stiftung angemessen sind. Soweit ein Da- 
tenabgleich über das Internet stattfindet, wird dieser über 
eine sichere Verschlüsselung geschützt. 

7.10.2 Projekt zur Nachweisbeschaffung für 
ehemalige NS-Zwangsarbeiter 

Im Rahmen der V erfahren zur Wiedergutmachung für NS- 
Opfer ergab sich für viele antragstellende ehemalige NS- 
Zwangsarbeiter das Problem, den in § 1 1 Abs. 2 Stiftungs- 
gesetz vorgesehenen Nachweis über die Leistungsberechti- 
gung durch Unterlagen zu erbringen. Der Internationale 
Suchdienst in Bad Arolsen kann in nur etwa einem knappen 
Drittel der Fälle den erforderlichen Nachweis führen. Hier 
setzt das Projekt „Nachweisbeschaffüng für ehemalige NS- 
Zwangsarbeiter/-innen“ an. Es handelt sich um ein Gemein- 
schaftsprojekt des Bundesarchivs, des Bundesverbandes In- 
formation & Beratung für NS-V erfolgte sowie des Interna- 
tionalen Suchdienstes, das von der Stiftung „Erinnerung, 
Verantwortung und Zukunft“ finanziert wird. Auf der 
Rechtsgrundlage des Stiftungsgesetzes und der Einverständ- 
niserklärungen der Antragsteller hilft das Projekt den An- 
tragstellern, deren eigene Recherchebemühungen auch über 
den Internationalen Suchdienst vorher erfolglos verlaufen 
sind. An der Recherche durch das Projekt sind 240 staatli- 
che und nicht staatliche Archive beteiligt. Ich habe das Pro- 
jekt auch in einem Termin vor Ort beraten. Alle Mitarbeiter, 
die aus dem nicht öf fentlichen Bereich kommen, wurden 
verschwiegenheitsverpflichtet. Die Prüfung zur Datensi- 
cherheit des V erfahrens ergab, dass die getrof fenen Maß- 
nahmen ausreichend und angemessen waren. Insbesondere 
wird der Datenverkehr über das Internet mit einer 128-Bit- 
Verschlüsselung geschützt. Inzwischen wurden bereits über 


218 000 Anfragen an das Projekt gerichtet. Bei den erledig- 
ten Recherchen konnte einem V iertel der Antragsteller, de- 
ren Bemühungen zuvor erfolglos geblieben waren, mit ei- 
nem positiven Ergebnis geholfen werden. 

7.10.3 Entschädigung von Holocaust-Opfern 
durch die Versicherungswirtschaft 

Ende der Neunzigerjahre beschlossen verschiedene amerika- 
nische Bundesstaaten Gesetze, so genannte Holocaust 
Victims Insurance Acts, mit denen bislang nicht durchge- 
führte Entschädigungsverfahren für V ersicherungspolicen 
von Holocaust-Opfern vorangetrieben werden sollten. Nach 
diesen Gesetzen sollten V ersicherungsuntemehmen ver- 
pflichtet werden, alle Daten von V ersicherungspolicen aus 
den Jahren von 1920 bis 1945 in die USA zu übermitteln, da- 
mit über einen Abgleich der Daten mit den Listen jüdischer 
Opferverbände und auch der Opferliste in Y ad Vashem die 
noch zu entschädigenden Personen ermittelt werden könnten. 
Soweit Versicherungsuntemehmen diese Gesetze nicht be- 
achteten, wurde ein V erlust der Lizenz in dem jeweiligen 
Bundesstaat angedroht. Nach fast einhelliger Auffassung der 
Datenschutzaufsichtsbehörden wäre die geforderte Übermitt- 
lung sämtlicher Daten aus den V ersicherungspolicen in die 
USA datenschutzrechtlich unzulässig gewesen. Als eine Lö- 
sungsmöglichkeit wurde von den Datenschutzaufsichtsbe- 
hörden aufgezeigt, eine neutrale Stelle mit der Erstellung ei- 
ner Opferliste zu befassen. Im März 2002 erklärte sich das 
Bundesaufsichtsamt für das V ersicherungswesen in seiner 
Zuständigkeit als Rechtsaufsicht über die V ersicherungsun- 
temehmen bereit, eine Gesamtliste aus den Daten der ver- 
schiedenen betroffenen Versicherungsunternehmen zu erstel- 
len. Nach derzeitigem Stand der \ferhandlungen zwischen der 
Bundesstiftung „Erinnerung, Verantwortung und Zukunft“ 
und der „International Commission on Holocaust Era Insu- 
rance Claims (ICHEIC)“ zeichnet sich ab, dass der Datenab- 
gleich mit der Antragsdatenbank der ICHEIC in Deutschland 
durch die Bundesanstalt für Finanzdienstleistungsaufsicht als 
Nachfolgerin u. a. des ehemaligen Bundesaufsichtsamtes für 
das Versicherungswesen stattfinden soll, wogegen keine da- 
tenschutzrechtlichen Bedenken mehr bestehen. Das weitere 
Verfahren stünde damit unter meiner Aufsicht. 

8 Rechtswesen 

8.1 Regelungsbedarf im Strafrecht - 

Heimliche Bildaufnahmen und DNA- 
Analysen dürfen nicht länger straffrei 
bleiben 

Mit dem Instrumentarium des geltenden Rechts kann straf- 
würdigen Verhaltensweisen, die durch die rasante Entwick- 
lung des technischen Fortschr itts möglich geworden sind, 
nicht oder nicht mehr angemessen begegnet werden. Es sind 
hier Strafbarkeitslücken entstanden, die möglichst bald zu 
schließen sind. Dies betrif ft vor allem das unbefugte Auf- 
nehmen und Verbreiten von Bildern insbesondere mithilfe 
der Videotechnik und des Inte rnets sowie die unbefugte 
Durchführung von Gentests, die durch die Medizintechnik 
entwickelt wurden. 

- Unbefugtes Aufnehmen und Verbreiten von Bildern 

Bereits in meinem 18. TB (Nr . 6.13) habe ich ange- 
mahnt, dass dringend Regelungen im Strafgesetzbuch 
geschaffen werden müssen, die das unbefugte Aufneh- 
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men und Verbreiten von Bildern anderer Personen unter 
Strafe stellen. Die geltenden Regelungen (§§ 22 f f. des 
Kunsturhebergesetzes) sind nicht umfassend genug und 
entsprechen auch nicht dem heutigen Stand der Technik. 
So betreffen die V orschriften ausschließlich nicht be- 
wegte Bilder, Filme sind also nicht erfasst. Weiterhin ist 
nur die unbefugte Verbreitung von Bildnissen, nicht je- 
doch schon deren Aufnahme, unt er Strafe gesteht. Im 
Zeitalter des Internets und der W ebkameras ist es mög- 
lich, Bilder von Menschen unbemerkt aufzunehmen und 
weltweit zu verbreiten, die unter Umständen tief in die 
Intimsphäre des Einzelnen eingreifen (etwa heimliche 
Aufnahmen in Umkleidekabinen, Sonnenstudios etc.). 
Solche Verhaltensweisen können nicht länger straflos 
hingenommen werden. Ein in der letzten Legislaturperi- 
ode hierzu eingebrachter Gesetzentwurf fand leider 
keine parlamentarische Mehr heit. Ich appelliere daher 
nochmals dringend an den Gesetzgeber , entsprechende 
Regelungen in das Strafgesetzbuch aufzunehmen. 

- Durchführung unbefugter DNA-Analysen 

Bereits mehrfach habe ich auf das Problem der Durch- 
führung unbefugter DNA-Analysen aufmerksam ge- 
macht (siehe z. B. 18. TB Nr . 25.2). Obwohl ein unbe- 
fugt durchgeführter Ge ntest und die unbefugte 
Verarbeitung oder Nutzung de r aus einem Gentest ge- 
wonnenen Ergebnisse tief in die Persönlichkeitsrechte 
der Betroffenen eingreifen, existiert noch kein strafbe- 
wehrtes Verbot. Die Datenschutzbeauftragten des Bun- 
des und der Länder haben anlässlich ihrer 62. Konferenz 
im Oktober 2001 bereits konkrete Formulierungsvor- 
schläge zur Fassung von entsprechenden Strafvorschrif- 
ten gemacht (s. Anlage 19; vgl. auch Nr . 28.5). Der Ge- 
setzgeber sollte auch hier möglichst bald tätig werden. 

8.2 Änderungen der Strafprozessordnung 

8.2.1 Neue Rechtsgrundlage für Auskunft 

über Verbindungsdaten 
(§§ 100g, h Strafprozessordnung) 

Mit Gesetz vom 20. Dezember 20 01 (BGBl. I S. 3879) sind 
die §§ 100g und 100h in die Strafprozessordnung (StPO) ein- 
gefügt wurden. Die Regelungen traten am 1. Januar 2002 in 
Kraft und stellen nunmehr die Rechtsgrundlage für Aus- 
kunftsverlangen der Strafverfolgungsbehörden an die Anbie- 
ter von Telekommunikationsdiensten hinsichtlich der Verbin- 
dungsdaten dar („wer hat wann mit wem wie lange 
kommuniziert“). Damit wurde en dlich eine Nachfolgerege- 
lung für § 12 des Femmeldeanlagengesetzes geschafen. Eine 
gesetzliche Neuregelung hatte ich wegen der verfassungs- 
rechtlichen Bedenken gegen diese Vorschrift, wie sie etwa in 
der Entschließung der 58. Konferenz der Datenschutzbeauf- 
tragten des Bundes und der Länder vom 7./8. Oktober 1999 
zum Ausdruck gebracht worden sind (s. Anlage 14 zum 
18. TB), in der V ergangenheit bereits mehrfach angemahnt, 
zuletzt in meinem 18. TB (Nr. 6.4.1). 

Zahlreiche der von mir geford erten datenschutzrechtlichen 
Verbesserungen wurden bei der Neuregelung erfreulicher- 
weise berücksichtigt. Hervorzuheben ist hier in erster Linie, 
dass jetzt nicht mehr jede Straftat ein Auskunftsverlangen 
der Strafverfolgungsbehörden rechtfertigt, sondern nur noch 
eine solche von „erheblicher Bedeutung“ oder eine solche, 
die mittels einer Endeinrichtung im Sinne des § 3 Nr . 3 des 


Telekommunikationsgesetzes begangen wurde. W eiterhin 
fällt positiv ins Gewicht, dass bezüglich der Anordnung der 
Maßnahme im W esentlichen die formalen Kriterien einzu- 
halten sind, die auch für eine Anordnung der Überwachung 
und Aufzeichnung von Inhaltsdaten gern. § 100b StPO gel- 
ten. So darf regelmäßig nur der Richter eine Maßnahme 
nach § 100g StPO anordnen. Lediglich bei Gefahr im V er- 
zug ist hierzu auch die Staatsanwaltschaft befügt, wobei de- 
ren Anordnung außer Kraft tritt, wenn sie nicht binnen drei 
Tagen von dem Richter bestätig t wird (§ 100h Abs. 1 S. 3 
i. V. m. § 100b Abs. 1 StPO). Auch sind Art, Umfang und 
Dauer der Maßnahme in der schriftlichen Anordnung zu be- 
stimmen (§ 100h Abs. 1 S. 3 i.Vm. § 100b Abs. 2 S. 1 und 3 
StPO). Richtet sich das Auskunfts verlangen in die Zukunft, 
ist die Anordnung außerdem auf höchstens drei Monate zu 
befristen, wobei eine V erlängerung um jeweils nicht mehr 
als drei weitere Monate zulässig ist, wenn die Voraussetzun- 
gen noch vorliegen. Unverändert weiter gilt die Pflicht zur 
Benachrichtigung der Beteiligten (jetzt § 101 Abs. 1 StPO) 
sowie zur Vernichtung der Unterlagen (jetzt § 100h Abs. 1 
S. 3 i. V. m. § 100b Abs. 6 StPO). 

Erfreulich ist außerdem, dass der Schutz der Zeugnisverwei- 
gerungsrechte für Geistliche, V erteidiger und Abgeordnete 
sichergestellt ist (§ 100h Abs. 2 StPO). Er entfällt nur dann, 
wenn diebetreffenden Personen selbst einer Teilnahme an 
der Straftat oder einer Begünstigung, Strafvereitelung oder 
Hehlerei verdächtig sind. Hervorheben möchte ich ferner , 
dass die §§ 100g, 100h StPO bis zum 3 1 . Dezember 2004 
befristet sind, da bis zu diesem Zeitpunkt die Er gebnisse 
von verschiedenen Gutachten vorliegen sollen, die zur The- 
matik „Überwachung des Fernmeldeverkehrs“ vom BMJ in 
Auftrag gegeben wurden. 

Welche Daten von dem Auskunftsanspruch nach §§ 100g, h 
StPO erfasst werden, ist nunmehr ausdrücklich geregelt, 
und zwar in § 100 g Abs. 3 StPO, der sich inhaltlich an § 6 
der Telekommunikations-Datenschutzverordnung (TDSV) 
anlehnt. So ist u. a. über die Standortkennung sowie über 
Berechtigungskennungen und Kartennummern Auskunft zu 
erteilen. Ich gehe davon aus, dass sich diese V erpflichtung 
der Diensteanbieter nur auf bei ihnen bereits vorhandene 
Daten beschränkt. Es verhält si ch nämlich so, dass die ge- 
nannten Daten nach der TDSV zwar gespeichert werden 
dürfen, dies tatsächlich jedoc h nicht immer geschieht. So 
wird z. B. die Standortkennung bei den Diensteanbietem 
nur bei einer standortabhängigen T arifgestaltung gespei- 
chert. Eine andere Interpretation des Gesetzes würde zu ei- 
ner Verpflichtung der Diensteanbieter führen, Daten auch 
dann zu speichern, wenn sie von ihnen gar nicht benötigt 
werden, also nur für Zwecke der Strafverfolgung. Eine sol- 
che Verpflichtung sollte je doch mit der Einführung der 
§§ 100g, h StPO ausweislich der Begründung des Gesetz- 
entwurfs gerade nicht verbunden sein. 

Kritisch möchte ich zu den neu eingefügten Vorschriften be- 
merken, dass es bezüglich der Übermittlung zukünftiger Ver- 
bindungsdaten an einer eindeutigen Regelung darüber fehlt, 
ob diese in periodischen Ab ständen oder unmittelbar nach 
der Verbindung stattzufinden hat. Problematisch ist, dass es 
für eine unmittelbare Übermittlung der Daten derzeit keine 
entsprechende Technik bei den verpflichteten Unternehmen 
gibt. Um hier zu einer Lösung der technischen Umsetzungs- 
probleme zu gelangen, wurde beim Bundesministerium für 
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Wirtschaft und Arbeit eine Arbeitsgruppe eingerichtet, an 
der ich mitwirke. 

Insgesamt stellen die neuen V orschriften jedoch einen aus- 
gewogenen Ausgleich zwischen dem Strafverfolgungsinter- 
esse des Staates und dem Persönlichkeitsrecht des einzelnen 
Bürgers dar. 

8.2.2 Zeugnisverweigerungsrecht von 
Journalisten erweitert 

Am 23. Februar 2002 ist ein Gesetz zur Änderung der Straf- 
prozessordnung in Kraft getreten, mit dem das Zeugnisver- 
weigerungsrecht für Medienmitarbeiter gern. § 53 Abs. 1 
Nr. 5 StPO erweitert und zugleich das damit zusammenhän- 
gende Beschlagnahmeverbot des § 97 Abs. 5 StPO ausge- 
dehnt wurde (BGBl. I S. 682 f.). 

Wie bereits berichtet (s. 18. TB Nr. 6.7 zu dem entsprechen- 
den Gesetzentwurf der Bundesregierung), erstreckt sich das 
Zeugnisverweigerungsrecht der Journalisten nunmehr auch 
auf selbst erarbeitete Materialien und berufsbezogene Wahr- 
nehmungen. 

Weil es in der Praxis der Medienarbeit nicht immer möglich 
ist, deutlich zwischen Infonnationen, die selbst recherchiert 
wurden und solchen, die von Dritten stammen, zu trennen, 
habe ich diese Neuregelung aus datenschutzrechtlicher 
Sicht begrüßt. 

Auch gegen die Einschränkung dieses erweiterten Zeugnis- 
verweigerungsrechts bei V erbrechen und bei den in § 53 

Abs. 2 S. 2 Nr. 1 bis 3 StPO genannten Straftaten im Inte- 
resse einer funktionsfähigen Strafrechtspflege und einer um- 
fassenden Wahrheitsermittlung im Strafverfahren habe ich 
aus datenschutzrechtlicher Sicht keine Bedenken angemel- 
det. 

Die gesetzliche Neuregelung enthält jedoch aus meiner 
Sicht einen „Wermutstropfen“, der das mit dem Zeugnisver- 
weigerungsrecht nach § 53 Ab s. 1 Nr. 5 StPO zusammen- 
hängende ebenfalls novelliert e Beschlagnahmeverbot nach 
§ 97 Abs. 5 StPO betrif ft. Hier sieht das Gesetz u. a. dann 
eine Ausnahme von der Beschlagnahmefreiheit vor , wenn 
der Medienmitarbeiter im V erdacht einer T atbeteiligung 
steht. Bedauerlicherweise hat der Gesetzgeber insoweit mei- 
nen bereits im letzten Tätigkeitsbericht dargestellten Beden- 
ken nicht Rechnung getragen. Ich hatte mich hier mit Nach- 
druck dafür eingesetzt, die Beschlagnahmefreiheit nur dann 
entfallen zu lassen, wenn gegen den Medienmitarbeiter ein 
dringender Tatbeteiligungsverdacht besteht. Mit der nun ge- 
troffenen Regelung, nach der ein einfacher V erdacht aus- 
reicht, um die genannten potenziellen Beweismittel (Schrift- 
stücke u. Ä.) bei dem betrof fenen Medienmitarbeiter zu 
beschlagnahmen, besteht die Gefahr, dass dessen Zeugnis- 
verweigerungsrecht allzu leicht ausgehebelt werden kann. 

8.2.3 Genomanalyse im Strafverfahren 

Die DNA-Analyse hat sich binnen weniger Jahre zu einem 
außerordentlich effektiven kriminalistischen Instrument ent- 
wickelt und ist geradezu ein Symbol der Revolution in der 
Kriminaltechnik geworden. Al lerdings sind Feststellung, 
Speicherung und V erwendung des DNA-ldentifizierungs- 
musters j eweils nicht unerhebliche Eingrif fe in das Recht 
auf informationelle Selbstbestimmung gemäß Artikel 2 Abs. 
1 i. V. m. Artikel 1 Abs. 1 GG, wie auch das Bundesverfas- 


sungsgericht in mehreren Entscheidungen festgestellt hat 
(vgl. zuletzt Kammerbeschluss vom 15. März 2001, NJW 
2001 S. 2320). Da solche Eingrif fe nur auf gesetzlicher 
Grundlage im überwiegenden Interesse der Allgemeinheit 
und unter Beachtung des Grundsat zes der Verhältnismäßig- 
keit zulässig sind, ist der Gesetzgeber seit Jahren damit be- 
schäftigt, die erforderlichen Rechtsgrundlagen für die DNA- 
Analyse im Strafverfahren zu schaffen und noch verblie- 
bene oder sogar durch die Gesetzgebung selbst entstandene 
Zweifelsfragen auszuräumen. Ich habe hierüber in den letz- 
ten Tätigkeitsberichten berichtet (vgl. zuletzt 18. TB 
Nr. 6.3). Wer nun geglaubt hätte, nach immerhin vier Geset- 
zesänderungen in den Jahren 1997 bis 2000 sei der Rege- 
lungsbedarf erschöpft, sah sich schon in der letzten Legisla- 
turperiode getäuscht, als der Gesetzgeber durch das Gesetz 
zur Änderung der Strafprozessordnung vom 6. August 2002 
(BGBl. 1 S. 3018) klarstellte, dass auch die Untersuchung 
von Spurenmaterial einer unbekannten Person nur durch 
den Richter angeordnet werden darf (vgl. unten Nr. 8.2.3. 1). 
Damit ist die W unschliste an den Gesetzgeber aber noch 
keineswegs am Ende: 

8.2. 3.1 Klarstellung: Richtervorbehalt auch bei 
der DNA-Analyse von Spuren 

Gegen Ende der 14. Legislat urperiode konnte erfreulicher- 
weise eine schon länger andauernde Meinungsverschieden- 
heit zwischen Bundesregierung und Bundesrat in einem da- 
tenschutzfreundlichen Sinne geklärt werden. Nach § 8 le 
StPO dürfen molekulargenetische Untersuchungen nicht nur 
an Probenmaterial des Beschuldi gten eines Strafverfahrens 
(Absatz 1), sondern auch an aufgefundenem, sicher gestell- 
tem oder beschlagnahmtem Spurenmaterial, das einem Ver- 
ursacher noch nicht zugeordnet werden kann (Absatz 2), 
durchgeführt werden. Die Anordnung der Untersuchung ist 
gern. § 8 1 f StPO dem Richter Vorbehalten, ohne dass zwi- 
schen den beiden Alternativen dif ferenziert wird. Einige 
Landgerichte vertreten dazu allerdings die Auffassung, dass 
es bei solchen Spuren mangels Eingriffs in das Recht auf in- 
formationelle Selbstbestimmung einer bekannten Person 
keiner richterlichen Anordnung bedarf und die Anordnung 
durch die Staatsanwaltschaft oder ihre Hilfsbeamten aus- 
reicht. 

Der Bundesrat hat angesichts der divergierenden Rechtspre- 
chung einen Gesetzentwurf vor gelegt, mit dem klar gestellt 
werden sollte, dass die DNA-Analyse von Spuren unbe- 
kannter Verursacher nicht durch den Richter angeordnet 
werden müsse, sondern eine Anordnung durch die Staatsan- 
waltschaft oder durch ihre Hilfsbeamten ausreiche. 

Dieser Gesetzentwurf fand keine Zustimmung. V ielmehr 
folgte der Deutsche Bundestag einem konträren Gesetzent- 
wurf der Bundesregierung: ln dem Gesetz zur Änderung der 
Strafprozessordnung vom 6. August 2002 (BGBl. 1 S. 3018) 
wurde das Erfordernis einer richterlichen Anordnung für die 
molekulargenetische Untersuchung sowohl in den Fällen 
des § 8 1 e Abs. 1 als auch in den Fällen des § 8 1 e Abs. 2 
StPO nunmehr noch deutlicher als bisher klargestellt. 

Hierzu habe ich u. a. in einer Anhörung vor dem Rechtsaus- 
schuss des Deutschen Bundestages betont, dass der Einsatz 
derartiger Untersuchungen im Strafverfahren zu empfind- 
lichen, den Kern der Persönlichkeit berührenden Eingrif fen 
führt. Dass die betrof fene Person den Strafverfolgungs- 
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behörden noch nicht namentlich bekannt ist, ändert daran 
nichts. Eine Anordnungskompetenz der Staatsanwaltschaft 
würde der Grundrechtsrelevanz solcher Maßnahmen im 
Hinblick auf die Möglichkeit der Verknüpfung mit der Gen- 
Datei des Spurenverursachers nicht gerecht. 

8.2. 3.2 Ultima ratio zur Aufklärung schwerer 
Verbrechen: DNA-Massentest 

DNA-Massentests gehören schon fast zum Standardreper- 
toire der Strafverfolgungsbehörden, um einen Täter oder 
eine Täterin aus einer Vielzahl von in Betracht kommenden 
Personen herauszufiltem. Solche Massentests können mit- 
unter sehr große Personenzahle n treffen: Bei der bislang 
wohl größten Reihenuntersuchung im Fall der ermordeten 
Christina Nytsch 1998 in Niedersachsen wurden beispiels- 
weise insgesamt 1 7 900 Personen um Speichelproben er- 
sucht. 

Ob es im geltenden Recht eine tragfähige Grundlage gibt, 
solche Massentests zwangsweise durchzuführen, ist umstrit- 
ten. Zum Teil wird angenommen, es handele sich bei dem 
betroffenen Personenkreis weitgehend um Beschuldigte, die 
eine Entnahme und Analyse der Speichelprobe nach § 81e 
Abs. 1 Satz 1 oder § 81a StPO auch gegen ihren Willen dul- 
den müssten. Dies würde voraussetzen, dass hinsichtlich 
sämtlicher betroffener Personen ein Anfangsverdacht i. S. v. 
§ 152 Abs. 2 StPO besteht. Davon kann jedoch lediglich in 
Einzelfällen, bei denen ausnahmsweise hinreichend präzise 
Anhaltspunkte für einen T atverdacht einer größeren Perso- 
nengruppe gegeben sind, ausgegangen werden, ln der Regel 
wird aber kaum ein Anfangsverdacht im Sinne der Strafpro- 
zessordnung gegen eine Vielzahl von Personen bejaht wer- 
den können, die nichts anderes mit der Tat verbindet als Ge- 
schlecht, Alter oder Wohnort. Zwangsweise Tests sind aber 
auch gegenüber anderen Personen, die keine Beschuldigten 
sind, für bestimmte Zwecke zulä ssig, etwa zur Klärung der 
Frage, ob sich am Körper der Person bestimmte Spuren oder 
Folgen der Straftat befinden (§ 81e Abs. 1 Satz 2 i. V . m. 
§ 81c Abs. 1 StPO) oder ob aufgefundenes Material vom 
Beschuldigten oder Verletzten stammt (§ 81e Abs. 1 Satz 2 

i. V. m. § 81c Abs. 2 StPO). Mit diesen Zweckbindungen 
sind aber Massentests, die eine ganz andere Zielrichtung 
verfolgen, kaum zu vereinbaren. Ich halte deshalb eine 
zwangsweise Reihenuntersuchung nicht für zulässig. Sie 
kann nur auf freiwilliger Ba sis durchgeführt werden. Das 
heißt, dass jeder einzelne T eilnehmer vor der Abnahme ei- 
ner Speichelprobe nach einer entsprechenden Belehrung ge- 
mäß § 4a BDSG schriftlich seine Einwilligung erklären 
muss. 

Allerdings ist auch die Ei nwilligung als Rechtsgrundlage 
für den DNA-Massentest nicht unproblematisch. Die rechts- 
staatliche Problematik derartiger molekular genetischer Rei- 
henuntersuchungen hegt in der Gefahr einer Durchbrechung 
der Unschuldsvermutung und faktischen Umkehr der Be- 
weislast. Die Strafverfolgungsorgane müssen den T eilneh- 
mern, soweit sie nicht Beschuldigte sind, bis auf ganz allge- 
meine Kriterien wie vermutete Altersgruppe und W ohnort 
keine Tatnähe im Sinne eines konkreten Verdachts nachwei- 
sen. Umgekehrt geraten aber diejenigen, die — aus welchen 
Gründen auch immer - nicht an dem Massentest teilnehmen 
wollen, schon dadurch ins Zentrum der Ermittlungen, nicht 
selten auch unter sozialen Druck und müssen sich für ihre 
Ablehnung rechtfertigen. 


Angesichts der aufgezeigten Problematik von DNA-Mas- 
sentests plädiere ich für eine gesetzliche Regelung. Eine sol- 
che Bestimmung muss rechtsstaatliche Mindestanforderun- 
gen definieren, etwa wie folgt: 

1 . Massentests müssen ultima ratio der strafprozessualen 
Ermittlungen bleiben. Es bedarf also einer Subsidiari- 
tätsklausel, wonach die Anordnung erst dann zulässig 
sein sollte, wenn alle im konkreten Fall einsetzbaren und 
gesetzlich zulässigen Ermittlungsinstrumente er gebnis- 
los ausgeschöpft sind. 

2. Der Grundsatz der V erhältnismäßigkeit gebietet wegen 
des Eingriffs in die Grundrechte einer V ielzahl von Per- 
sonen eine Beschränkung auf einen Katalog schwerer 
Straftaten gegen Leib und Leben sowie die sexuelle 
Selbstbestimmung. 

3. Ein Zwang zur Abgabe einer DNA-untersuchungsfähi- 
gen Probe darf nur aufgrund eines konkreten T atver- 
dachts, also gegen Beschuldigte im Sinne der Strafpro- 
zessordnung, ausgeübt werden. Bei allen übrigen 
Personen darf dies nur auf freiwilliger Basis geschehen, 
wobei die Verweigerung der Zustimmung nicht als V er- 
dachtsmoment gewertet werden darf. 

4. Die Anordnung eines DNA-Massentests muss dem 
Richter Vorbehalten bleiben. Staatsanwaltschaft und Po- 
lizei sollten nicht anordnungsbefügt sein. Eine Eilkom- 
petenz ist entbehrlich, weil schon die or ganisatorische 
Vorbereitung für einen DNA-Massentest so viel Zeit in 
Anspruch nimmt, dass eine richterliche Anordnung 
rechtzeitig herbeigeführt werden kann. 

8.2. 3. 3 Einwilligung ersetzt nicht die Prognose- 
entscheidung des Richters 

Schon in meinem letzten Tätigkeitsbericht habe ich bemän- 
gelt, dass § 3 Satz 3 des DNA-ldentitätsfeststellungsgeset- 
zes vom 7. September 1998 (BGBl. 1 S. 2646), der die Spei- 
cherung der im laufenden Strafverfahren gewonnenen 
DNA-Identifizierungsmuster zulässt, nicht auf den Richter- 
vorbehalt in § 81g Abs. 3 StPO verweist. Dies führt dazu, 
dass in diesen Fällen nicht der Richter über das V orliegen 
einer Straftat von erheblic her Bedeutung entscheidet und 
eine besondere Wiederholungsgefahr prognostizieren muss, 
sondern die Staatsanwaltschaft oder die Polizei, hn Er geb- 
nis führt dieser V erzieht auf die richterliche Gefahrenpro- 
gnose leider meistens dazu, dass die Anordnung einer DNA- 
Analyse im laufenden V erfahren automatisch die Speiche- 
rung dieser Daten in der DNA-Analyse-Datei nach sich 
zieht. 

Ebenfalls unter Nr. 6.3 des 18. TB habe ich die Praxis der 
Strafverfolgungsbehörden einiger Länder angesprochen, auf 
richterliche Anordnungen zur Entnahme und Untersuchung 
von DNA-ldentifizierungsmustem von Strafgefangenen zu 
verzichten und diese Maßnahmen stattdessen allein auf die 
Einwilligung der Betroffenen zu stützen. Diese Handhabung 
hat sich - jedenfalls in einigen Ländern - offenbar über den 
Bereich der Strafgefangenen hinaus generell auf die Fälle 
des § 81g StPO und des § 2 DNA-ldentitätsfeststellungsge- 
setz ausgeweitet (vgl. auch Nr. 13.3, soweit der Bund be- 
troffen ist), ln anderen Ländern hält man zwar für die Ent- 
nahme einer DNA-Probe die Ei nwilligung des Betroffenen 
für ausreichend. Für die Analyse der Probe bleibt es jedoch 
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in jedem Fall bei der richterlichen Anordnung. Gleichwohl 
ist auch in diesen Ländern die in § 81g StPO und § 2 DNA- 
ldentitätsfeststellungsgesetz vorgesehene Prognose einer 
besonderen Wiederholungsgefahr nicht immer Gegenstand 
einer richterlichen Entscheidung, sondern wird mitunter 
auch von der Staatsanwaltschaft bzw. sogar der Polizei ge- 
troffen. Angesichts dieser m. E. nicht hinnehmbaren T en- 
denz und der in den einzelne n Ländern unterschiedlichen 
Praxis halte ich eine Klarstellung durch den Gesetzgeber für 
geboten. Hierbei sollte einde utig bestimmt werden, dass 
DNA-Analysen für Zwecke künftiger Strafverfahren nach 
§ 81g StPO und § 2 DNA-Identitätsfeststellungsgesetz und 
deren Speicherung nach § 3 DNA- Identitätsfeststellungsge- 
setz nur aufgrund einer richterlichen Anordnung durchge- 
führt und nicht durch eine Einwilligung des Betrof fenen 
oder Entscheidungen der Staatsan waltschaft bzw. der Poli- 
zei ersetzt werden dürfen. 

ln diesem Zusammenhang ist anzumerken, dass das Bun- 
desverfassungsgericht in zw ei Kammerbeschlüssen vom 
14. Dezember 2000 und vom 18. März 2001 (abgedruckt in 
NJW 2001 S. 879 und 2320) festgesteht hat, dass § 2 DNA- 
Identitätsfeststellungsgesetz i. V. m. § 81g StPO verfas- 
sungsgemäß ist. Gleichzeitig ha t das Gericht aber auch die 
hohen inhaltlichen Anforderungen an die Prognoseentschei- 
dung und ihre tatsächlichen Grundlagen hervor gehoben. 
Diesem verfassungsrechtlichen Maßstab wird m. E. nur eine 
richterliche Anordnung auf der Basis einer individuellen 
Prognose gerecht. 

8.2. 3.4 Erweiterung des Anlasstatenkatalogs 
in § 81g Strafprozessordnung 

Die Entnahme von Körperzellen des Beschuldigten eines 
Strafverfahrens und die Feststellung des DNA-Identifizie- 
rungsmusters für künftige Strafverfahren nach § 81g Abs. 1 
StPO sind nur zulässig, wenn der Beschuldigte einer Straftat 
von erheblicher Bedeutung, insbesondere eines Verbrechens, 
eines Vergehens gegen die sexuelle Selbstbestimmung, einer 
gefährlichen Körperverletzung, eines Diebstahls in beson- 
ders schwerem Fall oder einer Erpressung verdächtig ist. 
Dieser Straftatenkatalog wird heute vielfach unter Hinweis 
auf den Schutz der Bevölkerung insbesondere vor Sexual- 
straftätem als zu eng empfunden. Die parlamentarischen 
Gremien haben sich im Berichtszeitraum mit Gesetzesvor- 
schlägen mehrerer Bundesländer und der CDU/CSU -Bun- 
destagsfraktion befasst, die da rauf abzielen, in den Anlass- 
tatenkatalog einen neuen T atbestand einzuführen, der eine 
DNA-Erfassung schon bei jedem V ergehen mit sexuellem 
Hintergrund erlaubt (Bundesratsdrucksache 517/02; 850/02 
sowie Bundestagsdrucksache 15/29). Zur Begründung wird 
angeführt, durch wissenschaftliche Untersuchungen werde 
bestätigt, dass oft weniger gewichtige Straftaten der Beginn 
einer kriminellen Karriere seien, an deren Ende schwerste 
Straftaten stehen können. Hierzu hat die Bundesregierung 
allerdings in ihrer Stellungnahme (Bundestagsdruck- 
sache 14/9887) zutreffend daraufhingewiesen, dass eine im 
Auftrag des Bundesministeriums der Justiz durchgeführte 
Untersuchung der Universität Göttingen zur Rückfälligkeit 
von exhibitionistischen Stra ftätem vom April 2002 für ei- 
nen Untersuchungszeitraum von vier Jahren zu dem Er geb- 
nis kam, dass in diesem Zeitraum nur rd. 1 bis 2 % der exhi- 
bitionistischen Straftäter später wegen eines sexuellen 
Gewaltdelikts oder einer sonstigen Gewalttat verurteilt wur- 


den. Ich halte deshalb die V orstellung von einer geradlini- 
gen Karriere vom Exhibitionisten zum Gewalttäter für nicht 
sehr überzeugend. Überdies würden bei der vor geschlage- 
nen Erweiterung auf V ergehen mit sexuellem Hinter grund 
selbst Delikte mit reinem Belästigungscharakter oder auch 
Beleidigung (§185 Strafgesetzbuch) mit sexuellem Inhalt 
als Anlasstaten ausreichen. 

Außerdem sehe ich keinen zwingenden Grund für eine Son- 
derbehandlung der Sexualdelikte, zumal eine Zunahme sol- 
cher Straftaten - anders als die öf fentliche Diskussion ver- 
muten lässt - statisti sch nicht belegt ist. Ebenso wie die 
Bundesregierung begrüße ich aber, dass der Entwurf immer- 
hin an dem Erfordernis einer qualifizierten Negativprognose 
festhält, wonach eine DNA-An alyse nur dann zulässig ist, 
wenn Grund zu der Annahme besteht, dass gegen den Be- 
schuldigten künftig erneut Strafverfahren wegen einer Straf- 
tat von erheblicher Bedeutung zu führen sind. 

In diesem Zusammenhang möchte ich anmerken, dass es 
- insbesondere von Seiten der Länder — auch \6rschläge ge- 
geben hat, auf das Erfordernis einer Straftat von erheblicher 
Bedeutung als Anlassstraftat zu verzichten und schon bei 
Verurteilung zu einer Strafe von mindestens einem Jahr 
Freiheitsentzug von der Annahme auszugehen, dass diese 
bereits für sich allein eine Negativprognose begründe (vgl. 
Bundesratsdrucksache 434/01). Dieser Vorschlag hat jedoch 
schon im Bundesrat keine Mehrheit gefunden. Schließlich 
ist sogar vorgeschlagen worden, DNA-ldentifizierungsmus- 
ter von allen Männern ohne besonderen Anlass zu erheben 
und rein vorsor glich in der DNA- Analyse-Datei zu spei- 
chern. Die Konferenz der Datenschutzbeauftragten des Bun- 
des und der Länder hat diesen V orschlag entschieden als 
verfassungswidrig zurückgewiesen (s. Anlage 14). 

8.2.4 IMSI-Catcher- jetzt auch im 
Strafverfahren 

Ebenfalls in den letzten W ochen der 14. Legislaturperiode 
ist ein neuer Paragraph lOOi in die StPO eingefügt worden. 
Diese Vorschrift erlaubt den Einsatz technischer Mittel zur 
Ermittlung der Geräte- und Kartennummer oder des Stand- 
orts eines aktiv geschalteten Handys. Über das dafür einge- 
setzte Gerät, den so genannten IMSI-Catcher , habe ich zu- 
letzt im 18. TB (Nr . 10.4) berichtet. Dieser IMSI-Catcher 
simuliert eine Funkzelle mit großer Feldstärke, sodass sich 
alle Handys in einem bestimmten Umkreis nicht bei der 
echten Funkzelle, sondern bei der des IMSI-Catchers mel- 
den. 

Ursprünglich enthielt der von der Bundesregierung einge- 
brachte Entwurf eines „Gesetzes zur Änderung der Strafpro- 
zessordnung“, das am 14. August 2002 in Kraft getreten ist, 
nur eine klarstehende Regel ung zum Richtervorbehalt für 
die Anordnung von DNA-Analysen bei Spurenmaterial (s. 
Nr. 8.2.3. 1). Nahezu unbemerkt von der Öf fentlichkeit 
wurde der Gesetzentwurf um die Regelung über den IMSI- 
Catcher (§ lOOi StPO) aufgrund einer Formulierungshilfe 
der Bundesregierung im Zuge der Ausschussberatungen des 
Deutschen Bundestages ergänzt. 

Ich habe im Rahmen einer Anhörung und bei der maßgebli- 
chen Beratung des Entwurfs im Rechtsausschuss des Deut- 
schen Bundestages — ebenso wie bei der parlamentarischen 
Beratung des § 9 Abs. 4 des Bundesverfassungsschutzgeset- 
zes im Rahmen des Terrorismusbekämpfüngsgesetzes - Be- 
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denken gegen die Regelung über den Einsatz des IMSI-Cat- 
chers erhoben, da hierdurch not wendigerweise auch immer 
Unbeteiligte betroffen sind. Darüber hinaus habe ich zu der 
konkreten Ausgestaltung der V orschrift folgende Änderun- 
gen - leider vergeblich - gefordert: 

- Die Ermittlung der Gerätenummer ist meines Erachtens 
keine geeignete Maßnahme, da sie weder generell bei ei- 
nem erstmaligen V erkauf des Geräts gespeichert wird 
noch bei einer späteren V eräußerung oder V erlust des 
Geräts nachgehalten werden kann. Sie ist damit kein ein- 
deutiges Identifizierungsmerkmal. 

- Die Eingriffsschwelle zur Übermittlung des Aufenthalts- 
ortes ist nach meinem Dafürhalten zu niedrig. Für die 
Standortfeststellung nach § lOOi Abs. 2 Satz 2 StPO 
reicht es nämlich bereits aus, dass die Ermittlung des 
Aufenthaltsortes des Täters „auf andere Weise weniger 
erfolgversprechend oder ersc hwert wäre“. Im Hinblick 
auf den mit dem Einsatz des Geräts verbundenen Grund- 
rechtseingriff bei einer V ielzahl von Personen hatte ich 
gefordert, dass die Ermittl ung auf andere W eise „nicht 
möglich oder wesentlich erschwert wäre“, wie dies zur 
Vorbereitung einer Abhörmaßnahme nach § 100a StPO 
gemäß § lOOi Abs. 2 Satz 1 StPO vorgeschrieben ist. 

- Die Dauer der Maßnahme, die gemäß § lOOi Abs. 4 
Satz 2 StPO bis zu sechs Monaten angeordnet werden 
kann, ist nach meiner Auffassung zu lang. Ich hatte statt- 
dessen eine Begrenzung auf drei Monate vor geschlagen, 
wie sie bei der Überwachungsmaßnahme gemäss § 100b 
Abs. 2 StPO vorgesehen ist. 

Demgegenüber habe ich begrüßt, dass die Anordnung des 
Einsatzes eines IMSI-Catchers dem Richter Vorbehalten ist. 

8.2.5 Erneute Erweiterung des Straftaten- 
katalogs in § 100a Strafprozessordnung 

Die Telefonüberwachung ist unbestreitbar ein wichtiges 
Hilfsmittel im Kampf gegen di e Kriminalität. Es war des- 
halb durchaus sinnvoll, dass mit Artikel 2 des Sechsten Ge- 
setzes zur Änderung des Strafvollzugsgesetzes vom 5. Ok- 
tober 2002 (BGBl. 1 S. 3954) die Straftaten 

- schwerer sexueller Missbrauch von Kindern nach § 176a 
Abs. 1, 2 oder 4 des Strafgesetzbuches (StGB), 

- sexueller Missbrauch von Kindern mit T odesfolge nach 
§ 176b StGB und 

- Verbreitung pornographischer Schriften nach § 1 84 

Abs. 4 StGB 

in den Katalog der Straftaten in § 100a StPO, bei denen die 
Überwachung und Aufzeichnung der T elekommunikation 
angeordnet werden darf, einbezogen wurden. Allerdings ist 
die Telefonüberwachung auch ein tiefer Eingriff in das Per- 
sönlichkeitsrecht des Betroffenen. Deshalb bedarf es in be- 
stimmten Zeitabständen bezügl ich des Straftatenkatalogs 
immer wieder einer sor gfältigen Abwägung zwischen dem 
Strafverfolgungsinteresse des Staates und der Einschrän- 
kung von Grundrechten des Betrof fenen. Der Gesetzgeber 
sollte daher darüber informiert sein, welche Er gebnisse in 
der Praxis tatsächlich zu verzeichnen sind. Vor diesem Hin- 
tergrund begrüße ich das V orhaben der Bundesregierung, 
den Anlasstatenkatalog des § 100a Satz 1 StPO einer grund- 
sätzlichen Überprüfung zu unterziehen (vgl. hierzu auch 


Nr. 8.3). Grundlage hierfür ist die bei dem Max-Planck-ln- 
stitut für ausländisches und in temationales Strafrecht im 
Auftrag des BMJ gegenwärtig erarbeitete Untersuchung zur 
„Rechtswirklichkeit und Effizienz der Überwachung der Te- 
lekommunikation nach den §§ 100a, 100b StPO und anderer 
verdeckter Ermittlungsmaßnahmen“. Diese Überprüfung ist 
vor allem deshalb erforderli ch, weil immer wieder neue 
Vorschläge und Gesetzentwürfe zur Ausweitung des Straf- 
tatenkatalogs eingebracht we rden. Ich werde die Entwick- 
lung weiter aufmerksam begleiten. 

8.3 Was macht das Forschungsvorhaben zur 
Telefonüberwachung? 

Bereits in meinem letzten Tätigkeitsbericht (vgl. Nr . 6.4.2) 
habe ich über das vom BMJ beim Max-Planck-Institut für 
ausländisches und internationales Strafrecht in Auftrag ge- 
gebene Forschungsvorhaben „Rechtswirklichkeit und Ef fi- 
zienz der Überwachung der T elekommunikation nach den 
§§ 100a, 100b Strafprozessordnung (StPO) und anderer ver- 
deckter Ermittlungsmaßnahmen“ berichtet. 

Die Anzahl der nach § 100a StPO angeordneten V erfahren 
steigt weiterhin. Zum einen steigt die Gesamtzahl der V er- 
fahren mit Telefonüberwachungsmaßnahmen, zum anderen 
auch die durchschnittliche Zahl der T elefonüberwachungs- 
anordnungen pro V erfahren. Im Mittelpunkt der Unter- 
suchung des Max-Planck-lnstituts steht die Bedeutung der 
Erkenntnisse aus der Telefonüberwachung für das Strafver- 
fahren und die Frage, inwieweit T elefonüberwachungsmaß- 
nahmen wirklich zum Erfolg der staatlichen Strafverfolgung 
geführt haben. Wichtig für die Studie ist eine möglichst prä- 
zise Aufbereitung von Date n, mit denen Entwicklung und 
Strukturen der T elefonüberwachung nachgewiesen werden 
können. Neben der Aktenanalyse werden die bei der Anord- 
nung beteiligten Personen, wie Polizisten, Staatsanwälte, 
Richter und Verteidiger, befragt. Bei der Ablaufplanung der 
Untersuchung bin ich beteiligt. So ist sichergestellt, dass da- 
bei keine personenbezogenen Daten verarbeitet werden. 

Die Vorlage des Schlussberichtes ist nunmehr für März 
2003 vorgesehen. 

8.4 Wann werden die Berichte über die 
akustische Wohnraumüberwachung 
endlich besser? 

Mit der Einführung des „Großen Lauschangrif fs“ im Jahre 
1998 wurde die Bundesregierung gern. Artikel 13 Abs. 6 
S. 1 Grundgesetz verpflichtet , den Deutschen Bundestag 
jährlich über die zum Zweck der Strafverfolgung durchge- 
führten akustischen W ohnraumüberwachungen zu unter- 
richten (vgl. schon 16. TB Nr. 1.6 und 6.1.1; 17. TB Nr. 6.1 
und 6.1.1). Inzwischen liegen die Berichte der Jahre 2000 
und 2001 vor. Mit Bedauern muss ich feststellen, dass auch 
diese, ebenso wie schon die Berichte der Jahre 1998 und 
1999, den Anforderungen, dem Parlament eine ef fektive 
Kontrolle insbesondere der Angemessenheit und Eignung 
der durchgeführten Maßnahmen zu ermöglichen, nicht ge- 
recht werden. Die in den Berichten gegebenen Informatio- 
nen reichen hierzu nicht aus. 

Die Datenschutzbeauftragten des Bundes und der Länder 
hatten bereits im Juni 2000 Wünsche bzw Empfehlungen zu 
erweiterten Berichtspflichten fo rmuliert (siehe hierzu die 
Entschließung vom 26. Juni 2000, Anlage 22 zum 18. TB). 
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Nicht zuletzt aufgrund dieser Anregung äußerte auch das 
Kontrollgremium des Bundestages den Wunsch nach „ange- 
reicherten Erkenntnissen“. Daraufhin prüfte eine Arbeits- 
gruppe des Strafrechtsausschusses der Konferenz der Justiz- 
ministerinnen und -minister de n Sachverhalt. Aufgrund des 
als Ergebnis verfassten Berichtes hat die Konferenz im No- 
vember 2001 dann zwar einige Präzisierungen der Erhe- 
bungsbögen sowie Hinweise hierzu beschlossen, die für die 
Berichte ab dem Berichtsjahr 2002 relevant sein werden. Die 
Wünsche bzw. Empfehlungen der Datenschutzbeauftragten 
wurden jedoch nur in sehr geringem Umfang berücksichtigt. 
Insbesondere soll auch in Zukunft nur die Anzahl der Be- 
schuldigten bzw. der Wohnungsinhaber, auch wenn sie nicht 
beschuldigt sind, genannt werden. Somit werden Angaben 
über die Anzahl aller von der Maßnahme betrof fenen Perso- 
nen, also auch z. B. von unverdächtigen Familienangehöri- 
gen oder zufälligen Besuchern, weiterhin fehlen. 

Nach meiner Auffassung ist dies jedoch, ohne dass ich hier 
näher auf die mehr gesetzes technische Begründung der Ar- 
beitsgruppe eingehen möchte, im Er gebnis nicht ausrei- 
chend. Sinn und Zweck der Aufnahme von Angaben zu 
Drittbetroffenen in die Berichte der Bundesregierung ist es, 
dem „Artikel- 13 -Gremium“ des Bundestages einen Über- 
blick darüber zu ermöglichen, wie viele unbescholtene Bür- 
ger von den Überwachungsmaßnahmen betrof fen sind, um 
bedenklichen Entwicklungen ggf. gegensteuem zu können. 
Die Drittbetroffenen müssen daher jedenfalls in ihrer Ge- 
samtzahl in dem Bericht an das Parlament aufgeführt wer- 
den (Umfang der Maßnahme). 1c h appelliere deshalb drin- 
gend an die Bundesregierung, daraufhinzuwirken, dass die 
Berichte in Zukunft insoweit erweitert werden und möchte 
in diesem Zusammenhang auch die sonstigen Anregungen 
der Entschließung vom 26. Juni 2000 nochmals in Erinne- 
rung rufen. 

Unter inhaltlichen Aspekten ist aus meiner Sicht bemer- 
kenswert, dass die Anlasstate n sich wie schon in den Jah- 
ren 1998 und 1999 auch im Berichtszeitraum 2000 und 
2001 im Wesentlichen auf Mord bzw. Totschlag und Betäu- 
bungsmitteldelikte beschränkten. Es scheint sich hier ein 
andauernder Trend abzuzeichnen. Auffallend ist in diesem 
Zusammenhang, dass bestimmte Katalogtaten des § 100c 
Nr. 3 Buchstabe a bis f Strafprozessordnung (StPO) bisher 
überhaupt noch nicht Anlass einer Überwachungsmaß- 
nahme waren. Hierzu zählen z. B. Delikte wie Geld- oder 
Wertpapierfälschung, schwerer Menschenhandel, gewerbs- 
mäßige Hehlerei, Bandenhehlerei sowie Straftaten nach 
dem Außenwirtschafts- und Kriegswaf fenkontrollgesetz. 
Dies hat auch die Bundesreg ierung in ihrem „Erfahrungs- 
bericht zu den W irkungen der W ohnraumüberwachung 
durch Einsatz technischer Mittel“ vom 30. Januar 2002 
(Bundestagsdrucksache 14/8155 S. 5) konstatiert. Nach ih- 
rer Auffassung erschienen angesichts des geringen Anwen- 
dungsgrades der Maßnahme insgesamt Rückschlüsse auf 
die Erforderlichkeit der Aufnahme dieser Straftaten in den 
Katalog des § 100c Abs. 1 StPO jedenfalls verfrüht. Diese 
Aussage erscheint mir jedoch zumindest fraglich. Immer- 
hin sind bereits vier Jahre se it der Einführung des Instru- 
mentes der akustischen W ohnraumüberwachung vergan- 
gen. Die Bundesregierung hat in ihrem Erfahrungsbericht 
(a. a. 0., S. 10) selbst daraufhingewiesen, dass die Bedeu- 
tung der Maßnahme für die Bekämpfung der Or ganisierten 
Kriminalität von den Landesjus tizverwaltungen zwar na- 


hezu einhellig betont wird, dies jedoch durch Einzelbei- 
spiele nicht hinreichend belegt werden kann. Die von ihr 
angekündigte Prüfung, ob eine bessere Erfolgskontrolle, 
insbesondere durch entsprechende Forschungsaufträge, er- 
reicht werden kann, bleibt abzuwarten (a. a. 0„ vgl. S. 13). 
Angesichts der Intensität der Grundrechtseingrif fe werde 
ich darauf hinwirken, dass diese Prüfung möglichst auch 
zeitnah abgeschlossen wird. Zustimmend zur Kenntnis ge- 
nommen habe ich, dass die Bundesregierung derzeit zur 
Einführung des Instrumentes der optischen W ohnraumü- 
berwachung („großer Spähangrif f ‘) keinen Handlungsbe- 
darf sieht (a. a. 0., S. 11 f.). 

8.5 „Cyber Crime Convention“ - 

Übereinkommen des Europarates 
über Datennetzkriminalität 

ln meinem 18. TB (Nr. 6.10) habe ich über den Entwurf ei- 
nes Übereinkommens des Europarates über Datennetzkrimi- 
nalität berichtet, dem u. a. die Überzeugung zugrunde liegt, 
dass eine wirksame Bekämpfung der Datennetzkriminalität 
eine verstärkte und rasche internationale Zusammenarbeit in 
Strafsachen verlangt. Das Übereinkommen ist am 23. No- 
vember 2001 in Budapest von 26 Mitgliedsstaaten des Euro- 
parates - darunter auch De utschland — sowie von Kanada, 
Japan, Südafrika und den USA unterzeichnet worden, ln 
Kraft tritt die Konvention allerdings erst dann, wenn fünf 
Unterzeichnerstaaten sie ratifiziert haben. 

Das BMJ hat mich seit dem Frühjahr 1999 regelmäßig an 
den Arbeiten zum Konventionsentwurf beteiligt. Erfreuli- 
cher Weise sind die - nicht zuletzt aufgrund meiner Stel- 
lungnahmen - bereits im Verlauf der Beratungen erreichten 
inhaltlichen Verbesserungen auch noch in der endgültigen 
Fassung des Übereinkommens enthalten. Dabei handelt es 
sich insbesondere um solche bei den Bestimmungen zu 
Überwachungsmaßnahmen im Bereich der elektronischen 
Kommunikation. So ist die Befugnis zum „Abfangen“ der 
so genannten Inhaltsdaten, also die Überwachung des Kom- 
munikationsinhalts selbst nach Artikel 21 des Übereinkom- 
mens endgültig auf V erfahren bei schwerwiegenden Delik- 
ten, die nach innerstaatlichem Recht zu bestimmen sind, 
beschränkt (für Deutschland vgl. insoweit §§ 100a, 100b 
Strafprozessordnung - StPO). Hinsichtlich der Verbindungs- 
daten bestimmt das Vertragswerk, dass eine Erhebung oder 
Aufzeichnung nur möglich ist, wenn nationale Bestimmun- 
gen nicht entgegenstehen. Auf diese Weise ist gewährleistet, 
dass die hier inzwischen im deutschen Strafverfahrensrecht 
erreichten Verbesserungen (nicht jedes Delikt rechtfertigt 
jetzt mehr ein Auskunftsverlangen über V erbindungsdaten 
an die Telekommunikationsdiensteanbieter, vgl. hierzu die 
neu eingefügten §§ 100g, 100h StPO, s. o. Nr . 8.2.1) nicht 
durch Regelungen des Übereinkommens unterlaufen wer- 
den. Schon im Entwurfsstadium konnte ich darüber hinaus 
erreichen, dass V orschriften bezüglich der V erpflichtung 
von Telekommunikationsdiensteanbietem zur vorsorglichen 
Speicherung von V erbindungs- und Nutzungsdaten gestri- 
chen wurden. 

Leider wurde meiner Forderung nicht entsprochen, in den 
Bestimmungen über Verfahren bei Rechtshilfeersuchen (Ar- 
tikel 27 und 28 des Übereinkommens) die datenschutzrecht- 
lichen Regelungen zu verbessern. Es gab von deutscher Seite 
hierzu den Vorschlag, Artikel 27 Abs. 4 des Übereinkom- 
mens dahin gehend zu er gänzen, dass eine Ablehnung des 
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Hilfeersuchens auch dann möglich sein sollte, wenn in dem 
ersuchenden Staat kein angemessenes Datenschutzniveau 
gewährleistet ist (s. zu dies er Forderung und allgemein zur 
Schaffung von nationalen und internationalen Regelungen 
zur Bekämpfung der Datennetzkriminalität auch die Ent- 
schließung der 6 1 . Konferenz der Datenschutzbeauftragten 
des Bundes und der Länder vom 8./9. März 2001, Anla- 
ge 11). Allerdings konnte hier im Rahmen der V erhandlun- 
gen insofern noch ein Kompromiss erreicht werden, als im 
erläuternden Bericht zu Artikel 27 die Er gänzung aufge- 
nommen wurde, dass im Rahm en des allgemeinen Rechts- 
hilfeverweigerungsgrundes „wesentlicher Interessen“ einer 
Vertragspartei in Ausnahmefällen über Artikel 28 des Über- 
einkommens hinaus zusätzliche Gesichtspunkte des Daten- 
schutzes geltend gemacht werden können. Angesichts dieser 
Tatsache und in Anbetracht des eingeschränkten Anwen- 
dungsbereichs der genannten Vorschriften (sie finden i. d. R. 
nur Anwendung, wenn zwischen den beteiligten V ertrags- 
parteien keine entspreche nden anwendbaren völkerrecht- 
lichen Übereinkünfte bestehen ; in den meisten Fällen wird 
jedoch das „Europäische Übereinkommen über die Rechts- 
hilfe in Strafsachen“ sowie dessen Zusatzprotokoll gelten) 
hält sich nach meiner Auf fassung der „Schaden“ in Gren- 
zen, sodass ich insgesamt mit den erreichten V erbesserun- 
gen zufrieden bin. 

8.6 Änderungen im Strafvollzugsgesetz 

Mit dem Sechsten Gesetz zu r Änderung des StrafVollzugs- 
gesetzes vom 5. Oktober 2002 (BGBl I S. 3954 f.) ist eine 
gesetzliche Grundlage zur elektronischen Speicherung von 
Lichtbildern von Gefangenen sowie zur Übermittlung von 
personenbezogenen Daten an Finanzbehörden durch die 
Vollzugsbehörde geschaffen worden. An den Beratungen 
war ich beteiligt. Allerdings wurden meine Forderungen nur 
teilweise berücksichtigt. 

Bisher war die Aufnahme von Lichtbildern als erkennungs- 
dienstliche Maßnahme nur zur Sicherung des V ollzuges ge- 
mäß § 86 Strafvollzugsgesetz (StV ollzG) zulässig. Nach 
dem neu eingefügten § 86a StVollzG dürfen Lichtbilder der 
Gefangenen nunmehr auch zu r Aufrechterhaltung der 
Sicherheit und Ordnung der An stalt aufgenommen und mit 
dem Namen der Gefangenen sowie deren Geburtsdatum und 
-ort gespeichert werden. Berücksichtigt wurde hier zumin- 
dest meine Forderung nach einem klarstellenden Hinweis, 
dass die Lichtbilder nur mit Kenntnis der Gefangenen auf- 
genommen werden dürfen. 

Nach § 86a Abs. 2 StVollzG dürfen die Lichtbilder von Jus- 
tizvollzugsbediensteten genutzt werden, wenn eine Über- 
prüfung der Identität der Gefangenen im Rahmen ihrer Auf- 
gabenwahrnehmung erforderlich ist. Die Bilder dürfen 
zudem sowohl an die Polize ivollzugsbehörden des Bundes 
und der Länder, soweit dies zu r Abwehr einer gegenwärti- 
gen Gefahr für erhebliche Rechtsgüter innerhalb der Anstalt 
erforderlich ist als auch an die Vollstreckungs- und Strafver- 
folgungsbehörden, soweit dies für Zwecke der Fahndung 
und Festnahme eines entwichenen oder sich sonst ohne Er- 
laubnis außerhalb der Anstalt aufhaltenden Gefangenen er- 
forderlich ist, übermittelt werden, ln Abstimmung mit den 
Datenschutzbeauftragten der Länder hatte ich hierzu — lei- 
der vergeblich - gefordert, zumindest eine Bestimmung ein- 
zufügen, die einen Schutz vor unbefugten Zugrif fen auf die 
Lichtbilddatei gewährleistet, z. B. durch eine umfassende 


Protokollierung der Abrufe und der mit ihnen verfolgten 
Zwecke, sowie eine Regelung für die or ganisatorische und 
funktionelle Trennung der Protokolldaten von sonstigen Un- 
terlagen über die Gefangenen, insbesondere der Gefange- 
nenpersonalakten, vorzusehen. 

Nach der bisherigen Rechtslage durften aufgrund des § 180 
Abs. 5 Satz 1 Nr. 1 StVollzG die Strafvollzugsbehörden u. a. 
den Finanzbehörden nur Auskunft darüber erteilen, ob sich 
eine bestimmte Person in Haft befindet, sowie ob und gege- 
benenfalls wann voraussichtlich ihre Entlassung innerhalb 
eines Jahres bevorsteht. Mit dem Gesetz wurde nun auch 
eine gesetzliche Grundlage zur Übermittlung von personen- 
bezogenen Daten durch die V ollzugsbehörde an Finanzbe- 
hörden zur Durchführung der Besteuerung geschaffen. Dies 
halte ich für nicht unproblematisch. W eshalb die Durchset- 
zung steuerrechtlicher Forderungen gegenüber anderen For- 
derungen privilegiert sein soll, obwohl die bisherige Rechts- 
lage nicht zu ersichtlichen Unzuträglichkeiten bei der 
Geltendmachung von Forderungen gegen Strafgefangene 
geführt hat, leuchtet mir nicht ein. 

8.7 Novelle des Bundeszentralregister- 
gesetzes 

Das Vierte Gesetz zur Änderung des Bundeszentralregister- 
gesetzes (BZRG) ist weite stgehend am 30. April 2002 in 
Kraft getreten (BGBl. 1 S. 1406). Über die Arbeiten zur No- 
vellierung des BZRG habe ich bereits in meinen letzten Tä- 
tigkeitsberichten informiert (vgl. 18. TB Nr . 6. 1 1 .1). ln die 
intensiven Beratungen wurde ich regelmäßig eingebunden; 
so sind in den Gesetzentwurf auch zahlreiche meiner Forde- 
rungen eingeflossen. Allerdings hat der Bundesrat im Ge- 
setzgebungsverfahren mehrere Änderungsvorschläge unter- 
breitet, die u. a. auf eine Ausweitung des Kreises der 
Behörden mit unbeschränktem Auskunftsanspruch aus dem 
Bundeszentralregister hinausliefen. Dies wurde von mir im- 
mer kritisch beurteilt. Eine vollständige Kenntnis der V or- 
strafen eines Bürgers ist nur ausnahmsweise erforderlich. 
Daher ist bereits bei der Auswahl der auskunftsberechtigten 
Stellen und der entsprechenden Zweckbestimmung wegen 
des damit verbundenen Eingrif fs in das informationelle 
Selbstbestimmungsrecht restriktiv vorzugehen. Auch der 
Gesetzgeber ist im BZRG bislang so verfahren, wie etwa an 
den unterschiedlichen Formen des Führungszeugnisses und 
deren Behandlung erkennbar wird (vgl. auch 17. TB Nr 6.9). 
Zwar sind meine Bedenken und die der Datenschutzbeauf- 
tragten der Länder auch in die Gegenäußerung der Bundes- 
regierung zur Stellungnahme des Bundesrates mit eingeflos- 
sen. Auf der Grundlage der Beschlussempfehlung des 
angerufenen Vermittlungsausschusses wurden aber dennoch 
zwei Änderungsvorschläge des Bundesrates in das Gesetz 
übernommen: 

- Im BZRG war bisher in § 20 Abs. 3 Satz 1 geregelt, dass 
Auskunft über Eintragungen, die mit einem Sperrver- 
merk versehen sind, weil der Betroffene schlüssig darge- 
legt hat, dass die Eintragung unrichtig ist, nur einem 
Strafgericht oder einer Staatsanwaltschaft für ein Straf- 
verfahren gegen den Betroffenen oder den in § 41 Abs. 1 
Nr. 3 genannten Behörden (Geheimdiensten) erteilt wird. 
Die Auskunftserteilung wurde durch die Novellierung 
erweitert und sieht nunmehr eine Übermittlung an die in 
§ 41 Abs. 1 Nr . 1, 3 bis 5 genannten Stellen (Gerichte, 
Geheimdienste, Finanzbehörden, Polizei) vor. 
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- Die unbeschränkte Auskunft aus dem Bundeszentral- 
register wird nach der Erweiterung des § 41 Abs. 1 Nr. 9 
BZRG nunmehr auch Behörden eingeräumt, die über Er- 
laubnisse zum Halten gefährlicher Hunde entscheiden 
müssen. 

8.8 Zentrales Staatsanwaltschaftliches 
Verfahrensregister 

Der Betrieb des länderüber greifenden Zentralen Staats- 
anwaltschaftlichen Verfahrensregisters (ZStV) wurde - wie 
im 18. TB berichtet (Nr. 6.1 1.3) - im Frühjahr 1999 aufge- 
nommen. Inzwischen ist die weit überwiegende Mehrheit 
der Staatsanwaltschaften an das Register angeschlossen, 
ebenso wie andere berechtigte Benutzer (Bundesamt für 
Verfassungsschutz und einige Landesämter für Verfassungs- 
schutz). Das Register umfasst derzeit ca. 7,65 Mio. Daten- 
sätze. Der endgültige Bestand soll sich auf rund 30 Mio. Da- 
tensätze belaufen. 

Die Daten vom und zum Register werden im ISDN-Netz (in 
einer geschlossenen Benutzer gruppe) sowie im TEST A- 
Overlaynetz der Deutschen T elekom AG übermittelt, bei 
dem nicht zuletzt auf mein Drängen hin eine zusätzliche 
Leitungsverschlüsselung eingerichtet wurde. Leider wurde 
jedoch noch immer nicht die notwendige „Ende-zu-Ende- 
Verschlüsselung“ realisiert. Ursprünglich war hierzu ge- 
plant, Produkte zu verwenden, die eine Verschlüsselung auf 
Basis des MailTrusT-Standards ermöglichen. Nachdem sich 
dies aus technischen Gründen nicht umsetzen ließ, wurde 
seitens des Bundeszentralregisters der V orschlag gemacht, 
ein so genanntes V irtuelles Privates Netz (VPN) einzuset- 
zen, das den gesamten Datenverkehr hinreichend sicher ver- 
schlüsselt. Dieser Vorschlag fand meine Zustimmung, harrt 
jedoch noch immer der Umsetzung, die hof fentlich in 
nächster Zukunft erfolgen wird. 

ln meinem 18. TB habe ich auf einen kontrovers geführten 
Dialog mit dem BMJ zu Art und Inhalt der nach § 495 Straf- 
prozessordnung (StPO ) auf Antrag aus dem ZStV zu ertei- 
lenden Auskünfte hingewiesen. Umstritten war und ist nach 
wie vor, ob aus dem Register Auskünfte auch dann erteilt 
werden sollen, wenn dort keine Einträge vorhanden sind (so 
genannte Negativauskünfte). Vonseiten des BMJ und des 
ZStV wurde die Befürchtung geäußert, eine solcherart prak- 
tizierte Auskunftserteilung ermögliche eine Ausforschung 
des Registers. Sie führe dazu, dass jemand aus der Art der 
Auskunftserteilung auf das V orhandensein von Eintragun- 
gen schließen könne. W erde dem Anfragenden nämlich, 
etwa wegen Gefährdung des Untersuchungszwecks (§ 495 
i. V. m. § 491 Abs. 2 S. 1 StPO), eine Auskunft verweigert, 
könne er daraus jedenfalls schließen, dass derzeit gegen ihn 
ermittelt werde, wodurch insbesondere im Bereich der Or- 
ganisierten Kriminalität Ermittlungserfolge gefährdet wer- 
den könnten. Deshalb sei es nöt ig, Auskünfte generell nur 
über abgeschlossene oder de m Beschuldigten bereits be- 
kannt gewordene Ermittlungsverfahren zu erteilen. Auch 
eine Negativauskunft müsse eine entsprechende Einschrän- 
kung enthalten. 

Hiermit war ich nicht einverstanden, da das Gesetz ohne jede 
Einschränkung eine Einzelfallprüfüng vorsieht. Außerdem 
könne von Ausforschungsgefahren schon aufgrund der jeden- 
falls bis dahin (Mitte des Jahres 2001) geringen Zahl der An- 
fragen nicht ausgegangen werden. Meinen Bedenken entspre- 


chend hat das BMJ im Dezember 2001 das ZStV gebeten, 
Negativauskünfte ohne die genannten Beschränkungen zu er- 
teilen, was erfreulicherweise auch nach wie vor geschieht. 

Eine vom BMJ zu der Problematik im Jahr 2002 durchge- 
führte Länderumfrage hat allerdings er geben, dass die Lan- 
desjustizverwaltungen weiterhin die Gefahr einer Ausfor- 
schung des Registers sehen. Diese Befürchtung lässt sich 
zwar nicht durch Fakten belegen und auch das ZStV , das 
hierzu eigens eine Statistik führt, hat bisher keine konkr ete 
Ausforschungsgefahr festgestellt; eine Umfrage er gab aber 
trotzdem, dass einige Staatsanwaltschaften wegen der ge- 
nannten Bedenken dem zentralen Register keine Ermittlungs- 
verfahren aus dem Bereich der Or ganisierten Kriminalität 
melden. Das führt dazu, dass das ZStV seine Funktion nicht 
ordnungsgemäß wahmehmen kann. Bereits in der vergange- 
nen Legislaturperiode wurde deshalb von Seiten der Länder 
vorgeschlagen, die Vorschrift des § 491 Abs. 2 StPO zu än- 
dern (s. z. B. Entwurf eines Gesetzes zur V erbesserung des 
strafrechtlichen Instrumentariums für die Bekämpfung des 
Terrorismus und der Organisierten Kriminalität, Bundesrats- 
drucksache 1 0 1 4/0 1 ), um den Auskunftsanspruch zu be- 
schränken. Obwohl die Änderungsversuche scheiterten, ist 
das Thema noch nicht „vom Tisch“, denn es sind weitere Ge- 
setzesinitiativen in diese Richtung zu erwarten. 

Ich kann mich den voigebrachten Bedenken gegen die Ertei- 
lung von Negativauskünften nicht gänzlich verschließen. 
Allerdings darf der Auskunftsan Spruch im Falle des nicht 
abgeschlossenen Verfahrens nicht komplett gestrichen wer- 
den. Bei einer Gesetzesänderung muss vielmehr eine ausge- 
wogene Lösung gefunden werden, die sowohl dem Interesse 
des Staates an einer wirk samen Strafverfolgung Rechnung 
trägt als auch dem Recht des Einzelnen darauf, zu wissen, 
ob und welche Daten über ihn gespeichert sind. Über den 
weiteren Fortgang der Diskussion werde ich berichten. 

8.9 Eurojust - europäische Zusammenarbeit 
der Justiz 

Auf der Grundlage einer V ereinbarung des Europäischen 
Rates in Tampere im Herbst 1999 wurde mit dem Beschluss 
des Rates der Europäischen Union vom 28. Februar 2002 
über die „Errichtung von Eurojust zur V erstärkung der 
Bekämpfung der schweren Kriminalität“ eine neue, mit ei- 
gener Rechtspersönlichkeit au sgestattete Einrichtung der 
Europäischen Union geschaffen. Diese Einrichtung soll ins- 
besondere im Zusammenwirken mit dem Europäischen Jus- 
tiziellen Netz und Europol dazu dienen, die justizielle Zu- 
sammenarbeit zwischen den Mitgliedsstaaten zu verbessern, 
vor allem bei der Bekämpfung der schweren bzw . Organi- 
sierten Kriminalität. 

Eurojust soll u. a. die Koordinierung der nationalen Staats- 
anwaltschaften fördern und die Erledigung von internatio- 
nalen Rechtshilfe- und Auslieferungsersuchen erleichtern, 
wenn Ermittlungen und Strafverfolgungsmaßnahmen bei 
bestimmten Delikten der schweren bzw . Organisierten Kri- 
minalität (z. B. Delikte aus dem Bereich des T errorismus, 
des illegalen Drogenhandels, der Computerkriminalität) 
zwei oder mehr Mitgliedsstaaten betref fen. Ermittlungs- 
kompetenzen besitzt Eurojust dagegen nicht. Es kann in die- 
sem Bereich allenfalls unterstützend tätig werden. 

Bei den Beratungen zur Einrichtung von Eurojust war ich von 
Beginn an beteiligt. Ich habe frühzeitig daraufhingewiesen, 
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dass im Hinblick auf die se nsiblen personenbezogenen Da- 
ten, die von Eurojust erhoben, verarbeitet und genutzt wer- 
den, und angesichts der eigenen Rechtspersönlichkeit dieser 
Einrichtung die Notwendigkeit von umfassenden Daten- 
schutzvorschriften besteht. Im Laufe der Beratungen konnte 
ich die Anforderungen im Detail formulieren. Diese wurden 
durch eine Entschließung der Datenschutzbeauftragten des 
Bundesund der Länder anlässlichihrer 62. Konferenz im Ok- 
tober 2001 nochmals bekräftigt (s. Anlage 20). 

Einigen Forderungen wurde im Beschluss über die Errich- 
tung von Eurojust erfreulicher W eise entsprochen. So sind 
beispielsweise Regelungen zur Sperrung von Daten und zur 
Datensicherheit in den Beschluss aufgenommen worden. Als 
Erfolg ist weiterhin zu werten, dass Betroffene grundsätzlich 
einen Auskunftsanspruch über die sie betreifenden personen- 
bezogenen Daten haben. Die geforderte Abwägung der ge- 
genläufigen Interessen bei der Entscheidung, ob Auskunft 
erteilt wird, entfällt allerdings, wenn über den Auskunft- 
suchenden keinerlei Daten bei Eurojust vorhanden sind. Hier 
wird nur pauschal mitgeteilt, dass eine Überprüfung stattge- 
funden habe, ohne dass der Antragsteller hieraus entnehmen 
kann, ob zu seiner Person Daten vorhegen. Aus meiner Sicht 
ist diese Regelung im Hinblick auf die Zuständigkeit von Eu- 
rojust für Delikte der schweren bzw. Organisierten Kriminali- 
tät und mit Rücksicht auf die dem Antragsteller eingeräumte 
Beschwerdemöglichkeit noch akzeptabel. Besonders hervor- 
zuheben ist ferner, dass eine gemeinsame Kontrollinstanz ge- 
schaffen wurde, deren Entscheidungen bindenden Charak ter 
haben. Diese Instanz wird sich, anders als etwa die entspre- 
chende Einrichtung bei Europol, aus Richtern oder Personen, 
die aufgrund des ihnen verliehenen Amtes eine veigleichbare 
Unabhängigkeit besitzen, zusammensetzen. Diese Regelung 
wurde — vor allem auf französische Initiative - zur W ahrung 
der Unabhängigkeit von Eurojust als einer justiziellen Stelle 
getroffen (sie besteht aus Richtern, Staatsanwälten oder Poli- 
zeibeamten mit gleichwertigen Befugnissen). 

Negativ zu vermerken ist demgegenüber u. a., dass der Ka- 
talog der personenbezogenen Daten, die verarbeitet werden 
dürfen, relativ weit gefasst ist und die Aufnahme einer Öf f- 
nungsklausel - wenn auch stark eingeschränkt - nicht ver- 
mieden werden konnte. Auch richtet sich die jeweilige Spei- 
cherungsfrist bedauerlicher Weise nicht nach der Frist des 
Mitgliedstaates, in dem sie am kürzesten ist (eine Umge- 
hung der nationaler Löschungsfristen wäre so vermieden 
worden), sondern nach derjenigen, die am längsten ist. 

Insgesamt bin ich jedoch mit den in den Beschluss aufge- 
nommenen datenschutzrechtlichen Regelungen zufrieden. 
Ich möchte allerdings daran erinnern, dass innerstaatlich 
noch Rechtsetzungsbedarf best eht, insbesondere im Hin- 
blick auf Auskünfte an Eurojust über strafrechtliche Er- 
mittlungsverfahren sowie Auskünfte aus dem länderüber- 
greifenden Zentralen Staatsanwaltlichen V erfahrensregister 
(vgl. auch Nr. 8.8). Hier müssen entsprechende Ermächti- 
gungsgrundlagen geschaffen werden. 

8.10 Elektronischer Rechtsverkehr 

8.10.1 Elektronischer Rechtsverkehr - Eine neue 

Herausforderung für die Justiz 

Auch die Justiz will sich für elektronische Kommunikati- 
onsformen öffnen. Die Justizministerien des Bundes und der 
Länder versprechen sich von de r Möglichkeit, elektronisch 


mit den Gerichten zu kommunizieren, nicht zuletzt einen er- 
heblichen Kostenvorteil für die Zukunft. 

Elektronische Klageerhebungen sind im Bereich der Finanz- 
gerichtsbarkeit bereits seit August 1999 möglich, als das 
Finanzgericht Hamburg einen Feldversuch zum elektroni- 
schen Rechtsverkehr begann. Ei n weiterer Feldversuch wird 
beim Finanzgericht Brandenburg durchgeführt. Die 70. Kon- 
ferenz der Justizministerinnen und -minister (Justizminister- 
konferenz) hatte am 7./9. Juni 1999 die Bund-Länder -Kom- 
mission für Datenverarbeitung und Rationalisierung in der 
Justiz (Bund-Länder-Kommission) beauftragt zu prüfen, un- 
ter welchen rechtlichen V oraussetzungen die Justiz für den 
elektronischen Geschäftsverkehr geöffnet werden kann und 
welche gesetzgeberischen Schritte hierfür erforderlich sind. 
Dabei sollte der Eröffnung des elektronischen Geschäftsver- 
kehrs mit den Register gerichten Priorität eingeräumt wer- 
den. Die Bund-Länder -Kommission ihrerseits setzte eine 
Arbeitsgruppe Elektronischer Rechtsverkehr und eine wei- 
tere Arbeitsgruppe ein, die si ch mit dem elektronischen 
Rechtsverkehr in den Fachgerichtsbarkeiten des öf fent- 
lichen Rechts befasste. Im Berichtszeitraum hat die Bund- 
Länder-Kommission der Justizministerkonferenz ihren Ab- 
schlussbericht vorgelegt. Auf dessen Grundlage hat die Jus- 
tizministerkonferenz auf ihrer 72. Konferenz im Juni 2001 
die Bundesministerin der Justiz gebeten, in Zusammenarbeit 
mit den Ländern die Erforderlichkeit von Rechtsgrundlagen 
zur Einführung einer elektronischen Kommunikation und 
Aktenführung zu prüfen und ggf . zu schaf fen. Auf ihrer 
73. Konferenz im Juni 2002 be schloss sie er gänzend, die 
ebenfalls erarbeiteten organisatorisch-technischen Leitlinien 
für den elektronischen Rechtsverkehr mit den Gerichten und 
Staatsanwaltschaften dem Bund und den Ländern als 
Grundlage für den Erlass von Rechtsverordnungen zur Ein- 
führung und zur Anwendung des elektronischen Rechtsver- 
kehrs zu empfehlen. 

Besonders erfreulich war in diesem Zusammenhang, dass 
der Abschlussbericht der Bund-Länder -Kommission auch 
dem Arbeitskreis Justiz (AK Justiz) der Konferenz der Da- 
tenschutzbeauftragten des Bundes und der Länder (Daten- 
schutzkonferenz) vorgestellt und fachkundig erläutert 
wurde. Dieser hat unter meiner Federführung daraufhin eine 
eigene Arbeitsgruppe Elektronischer Rechtsverkehr einge- 
setzt, die die Entwicklung in diesem Bereich in den nächs- 
ten Jahren aus datenschutzrec htlicher Sicht konstruktiv be- 
gleiten wird. 

Der Begriff Elektronischer Rechtsverkehr ist weit zu fassen. 
Er reicht von der Einreichung von Schriftsätzen bei Gericht 
durch die Verfahrensbeteiligten mithilfe elektronischer Me- 
dien, über die Führung elektronischer V erfahrensakten, den 
Einsatz von V ideotechnik in der mündlichen Verhandlung 
(zur Einführung der V ideotechnik im Strafprozess siehe 
meinen 17. TB Nr. 6.5 und im finanzgerichtlichen Verfahren 
meinen 18. TB Nr. 6.14) bis hin zum Abruf und zur Versen- 
dung gerichtlicher Entscheidungen (prozessleitender Verfü- 
gungen und Beschlüsse, Urteile etc.) auf elektronischem 
Wege, einschließlich des Zugangs zu den Datenbanken der 
Registergerichte. 

Gesetzliche Grundlage für die Möglichkeit, Schriftsätze auf 
elektronischem Wege an ein Gericht zu übermitteln, ist die 
mit dem Gesetz zur Anpassung der Formvorschriften des 
Privatrechts und anderer V orschriften an den modernen 
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Rechtsgeschäftsverkehi' vom 13. Juli 2001 (BGBl. 1 S. 1542) 
in die Prozessordnungen und gerichtlichen V erfahrensge- 
setze aufgenommene Ermä chtigung der Bundesregierung 
und der Landesregierungen, für ihren jeweiligen Bereich 
den Zeitpunkt zu bestimmen, von dem an elektronische Do- 
kumente bei den Gerichten eingereicht werden können, und 
welches die für die Bearbeit ung dieser Dokumente geeig- 
nete Form ist (§ 130a Zivilprozessordnung, § 46b Arbeits- 
gerichtsgesetz, § 108a Sozialgerichtsgesetz, § 86a V erwal- 
tungsgerichtsordnung, § 77a Finanzgerichtsordnung, § 21 
Gesetz über die freiwillige Gerichtsbarkeit, §§ 73 Abs. 2 
und 81 Abs. 3 Grundbuchordnung). Als erstes Land hat 
Hamburg mit der V erordnung über den elektronischen 
Rechtsverkehr in gerichtlichen Verfahren vom 9. April 2002 
(HmbGVBl. S. 41) von der in § 77a Finanzgerichtsordnung 
enthaltenen gesetzlichen Ermächtigungsgrundlage Ge- 
brauch gemacht und ab dem 1 . Mai 2002 die Einreichung 
von elektronischen Dokumenten - also Schriftsätzen und 
Klagen — beim Finanzgericht Hambur g gesetzlich zugelas- 
sen. 

Auch an den Bundesgerichten ist ein Anfang dieser Ent- 
wicklung zu verzeichnen. So habe ich mich beim Bundesge- 
richtshof über die dort aufgrund der V erordnung über den 
elektronischen Rechtsverkehr beim Bundesgerichtshof vom 
26. November 2001 (BGBl. 1 S. 3225) geschaf fene Mög- 
lichkeit informiert, Verfahren bei einem Bundesgericht auf 
elektronischem Wege zu führen. Dort erstreckt sich die 
Möglichkeit, Revisionsverfahren elektronisch zu führen, zu- 
nächst nur auf wenige der beim Bundesgerichtshof zugelas- 
senen Rechtsanwälte. Ich rechne damit, dass sich diese 
Form der Prozessführung relati v schnell durchsetzen wird. 
Desto wichtiger ist es aus datenschutzrechtlicher Sicht im 
Hinblick auf die Übermittlung sehr sensibler personenbezo- 
gener Daten auf elektronischem W ege zwischen den Pro- 
zessbeteiligten - wie z. B. in Ehescheidungsverfahren, 
deren elektronische Abwickl ung derzeit bei einem nieder- 
sächsischen Amtsgericht getestet wird -, möglichst frühzei- 
tig bei der Einführung dieser neuen prozessualen Möglich- 
keiten beteiligt zu werden. Umso mehr begrüße ich, dass bei 
der Entwicklung der technischen Systeme sehr viel Wert auf 
Sicherheit gelegt wurde. 

Ein wesentlicher Aspekt des elektronischen Rechtsverkehrs 
ist die Möglichkeit, elektroni sch auf die Datenbanken der 
Registergerichte zugreifen zu können, was alle bei Gerich- 
ten geführten Register umfasst. Es geht dabei nicht nur um 
die Möglichkeit, aus diesen Registern im automatisierten 
Verfahren Infonnationen abrufen zu können, sondern auch 
dämm, bestimmte Register über das Internet allgemein zur 
Verfügung zu stehen. Wegen der unterschiedlichen Zielrich- 
tung und der unterschiedlichen Berechtigung, Informatio- 
nen aus den bei den Gerichten vorhandenen Registern abzu- 
rufen, ist es nicht möglich, einheitlich für alle Register 
geltende Bestimmungen zu finden. Im Berichtszeitraum 
sind bereits gesetzliche Regelungen getrof fen worden, um 
entsprechende automatisierte Abrufe aus dem Handelsregis- 
ter (§§ 9 und 9a Handelsgesetzbuch), dem V ereinsregister 
(§ 79 BGB) und dem Schuldnerverzeichnis (§ 9 Insolvenz- 
ordnung, s. hierzu Nr. 10.7) zu ermöglichen. Gesetzesände- 
rungen für die anderen bei den Gerichten geführten Register 
werden folgen. 

Ich werde die Entwicklung verfolgen und darüber weiter be- 
richten. 


8.10.2 Zugang der Bürger zum Rechtsverkehr 
mit den Behörden 

Nachdem mit dem Gesetz zur Anpassung der Formvor- 
schriften des Privatrechts und anderer V orschriften an den 
modernen Rechtsgeschäftsverkehr vom 13. Juli 2001 
(BGBl. 1 S. 1542) die Möglichkeit geschaf fen worden ist, 
im Zivilrecht verbindliche Rechtserklärungen — z. B. zum 
Abschluss eines Vertrages - in elektronischer Fonn abzuge- 
ben, bestand diese Möglichkeit im öffentlichen Recht zu- 
nächst nicht. Das „Dritte Gesetz zur Änderung verwaltungs- 
verfahrensrechtlicher Vorschriften“ vom 2 1 . August 2002 
(BGBl. 1 S. 3322) eröffnet nunmehr die elektronische Kom- 
munikation zwischen Bürger und Verwaltung. Es ist — mit 
Ausnahme von steuerrechtlichen Vorschriften, die bereits ab 
dem 1 . September 2002 galten - am 1 . Februar 2003 in 
Kraft getreten. 

Zentrale Regelung ist dabei der neue § 3a des V erwaltungs- 
verfahrensgesetzes (VwVfG), der die Übermittlung elektro- 
nischer Dokumente zwischen Bür ger und V erwaltung 
erlaubt, „soweit der Empfä nger hierfür einen Zugang ge- 
schaffen hat“. Die Bundesregierung hat in der Begründung 
zu dieser Vorschrift (Bundestagsdrucksache 14/9000 S. 30 
f.) deutlich hervor gehoben, dass nur dann, wenn eine Be- 
hörde, ein Unternehmen oder ein Rechtsanwalt — d. h. Insti- 
tutionen, die berufsmäßig am Rechtsverkehr teilnehmen - 
eine E-Mail-Adresse angeben, damit konkludent die Bereit- 
schaft erklärt wird, auf diesem Wege Dokumente und Erklä- 
rungen anzunehmen. Diese Institutionen haben in diesem 
Fall den Empfang elektronischer Post durch or ganisatori- 
sche Maßnahmen sicherzustellen, z. B. dadurch, dass ihre 
E-Mail-Postfächer regelmäßig abgefragt werden. W ill eine 
Institution trotz Angabe ihrer E-Mail-Adresse Erklärungen 
nicht elektronisch annehmen, muss sie dies auf ihrer Inter- 
netseite oder in ihrem Schreiben an die Behörde ausdrück- 
lich erklären. Etwas anderes gilt für den Bür ger. Bei ihm 
kann noch nicht davon ausgegangen werden, dass er mit der 
Angabe seiner E-Mail-Adresse in einem Schreiben an eine 
Behörde sein Einverständnis erklärt, von dieser auf elektro- 
nischem Wege eine rechtlich verbindliche Erklärung, z. B. 
einen Verwaltungsakt, zu erhalten. Der Bürger muss daher 
der Behörde gegenüber ausdrücklich erklären, dass er mit 
diesem Verfahren einverstanden ist. Ich hätte es begrüßt, 
wenn der Gesetzgeber nicht nur in der Begründung, sondern 
im Gesetzestext selbst ausdrücklich die Einwilligung des 
Bürgers in die elektronische Übermittlung von Dokumenten 
vorgesehen hätte. 

Ebenfalls hätte ich es begrüßt, wenn in § 37 Abs. 4 VwVfG 
eine Regelung aufgenommen worden wäre, wonach ein \fer- 
waltungsakt, dessen Erlass und Gültigkeit dauerhaft nach- 
weisbar sein muss, nur dann in elektronischer Form erlassen 
werden darf, wenn sicher gesteht ist, dass der Inhalt des 
elektronischen Dokuments dauerhaft lesbar und die nach 
§ 3a Abs. 2 VwVfG erforderliche digitale Signatur dauer- 
haft überprüfbar ist. Dies gilt für Verwaltungsakte wie z. B. 
einer Gewerbeuntersagung. Dabei sehe ich es als besonders 
problematisch an, dass bei digitalen Signaturen nach dem 
derzeitigen Stand der T echnik der Sicherheitswert durch 
Zeitablauf geringer wird (§6 Abs. 1 Satz 2 Signatur gesetz). 
Die digitale Signatur müsste daher von Zeit zu Zeit erneuert, 
d. h. durch eine andere ersetzt werden. W ie und ob das in 
der Praxis funktioniert, muss sich erst noch zeigen. Insbe- 
sondere hätte im Gesetzestext vor gesehen werden sollen, 
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dass die Erneuerung der digita len Signatur in den V erant- 
wortungsbereich der erlassenden Behörde fällt. 

Neben dem Verwaltungsverfahrensgesetz wurden mit dem 
Gesetz vom 21. August 2002 auch das Verwaltungsverfah- 
ren bei den Sozialleistungsträgern (Erstes und Zehntes Buch 
Sozialgesetzbuch) und der Finanzverwaltung (Abgabenord- 
nung) sowie weitere Gesetze mit V erwaltungsverfahrens- 
rechtlichen Vorschriften angepasst. Der Gesetzgeber hat 
hier sicherlich Neuland betreten. 

8.11 Veröffentlichung von Gerichts- 
entscheidungen 

ln meinem 9. TB (S. 20 Nr . 4.3) habe ich mich bereits ein- 
mal mit der Frage befasst, inwieweit V erfahrensbeteiligte 
bei der V eröffentlichung von Gerichtsentscheidungen hin- 
nehmen müssen, dass damit gegebenenfalls auch personen- 
bezogene Daten über sie beka nnt gemacht werden. Anläss- 
lich einer Eingabe aufgrund der V eröffentlichung eines 
Beschlusses des Bundesgerichtshofs habe ich mich erneut, 
diesmal auf der Grundlage eines Urteils des Bundesverwal- 
tungsgerichts, eingehend damit auseinandergesetzt. Der Be- 
schluss des Bundesgerichtshofs hatte aus Gründen der V er- 
ständlichkeit der Entschei düng insbesondere die Funktion 
eines Verfahrensbeteiligten einschließlich der Art der Be- 
schäftigungsstelle genannt und durch die notwendige Ausei- 
nandersetzung mit einem Gesetz des betref fenden Bundes- 
landes für kundige Leser letzt lieh erkennen lassen, wer die 
in Frage stehende Person ist. 

Ausgangspunkt meiner Bewertung war ein neueres Urteil 
des Bundesverwaltungsgerichts. Dieses hat in seiner Ent- 
scheidung vom 26. Februar 1997 (BV erwGE 104, 106 = 
NJW 1997, 2694) die Bedeutung der V eröffentlichung der 
maßgeblichen Entscheidungen als eine Aufgabe der Ge- 
richte herausgestellt, die sich aus dem Rechtsstaatsgebot 
einschließlich der Justizgewährungspflicht, dem Demokra- 
tiegebot und auch aus dem Grundsatz der Gewaltenteilung 
ergibt. Dabei hat das Gericht auch auf die Notwendigkeit 
der Anonymisierung der Entscheidungen hingewiesen. 

Flieraus ergibt sich zunächst, dass eine Entscheidung nicht 
ohne weiteres veröffentlicht werden darf, wenn sie im Flin- 
blick auf ihre V erständlichkeit nicht anonymisiert werden 
kann. Auch wenn eine Veröffentlichung nach dem Wortlaut 
von § 16 Abs. 1 Nr. 1 i. V. m. § 14 Abs. 1 Satz 1 BDSG zu- 
lässig wäre, darf dies dann nicht geschehen, wenn die darin 
liegende Schwere des Eingrif fs in das informationeile 
Selbstbestimmungsrecht des Betrof fenen außer V erhältnis 
zu dem mit der Veröffentlichung der Entscheidung verfolg- 
ten öffentlichen Interesse steht. Dies kann der Fall sein, 
wenn es in einer Entscheidung ausnahmsweise nur um die 
Lösung rein individueller Probl eme des Einzelfalles geht. 
Ebenso bedarf aber die Zulässigkeit der Veröffentlichung ei- 
ner besonders sor gfältigen Prüfung, wenn sich eine Ent- 
scheidung aus V erständnisgründen nicht anonymisieren 
lässt, andererseits aber nachteilige Infonnationen über einen 
Betroffenen enthält, wie z. B. Strafurteile. 

Unter diesen Gesichtspunkten unterfällt der vom Bundesge- 
richtshof entschiedene Sachverhalt den tragenden Entschei- 
dungsgründen des Urteils des Bundesverwaltungsgerichts. 
Ich habe daher keine Einwendungen gegen die V eröffent- 
lichung dieses Falls erhoben. Insgesamt gehe ich davon aus, 
dass die Gerichte bei den seltenen Fällen nicht anonymisier- 


barer Entscheidungen neben der wichtigen Aufgabe zur 
Veröffentlichung ebenso die schutzwürdigen Interessen der 
Betroffenen berücksichtigen und prüfen, ob nicht im Einzel- 
fall hierauf zu verzichten ist. 

9 Finanzwesen 

9.1 Datenschutzgerechte Änderung 

der Abgabenordnung auf dem Weg 

ln meinem 18. TB (Nr . 7.2) habe ich über Gespräche mit 
dem BMF zur datenschutzrechtlichen Verbesserung der Ab- 
gabenordnung berichtet. Angesichts der Bedeutung, die ei- 
ner datenschutzgerechten Ausgestaltung der Abgabenord- 
nung zukommt, hat der Deutsche Bundestag in seiner 
Entschließung zum 18. TB ausdrücklich erklärt, dass er das 
BMF in seinem Bemühen, den datenschutzrechtlichen Re- 
gelungsbedarf der Abgabenordnung zu ermitteln, unterstützt 
und erwartet, dass die hier bei als notwendig erkannten 
datenschutzrechtlichen Regelungen in der nächsten Legis- 
laturperiode getroffen werden (Empfehlungen des Innen- 
ausschusses, Bundestagsdrucksache 14/9490 vom 18. Juni 
2002, Plenarprotokoll 14/248 der 248. Sitzung am 4. Juli 
2002, S. 25174). 

Inzwischen habe ich dem BMF ausführliche, mit den Landes- 
beauftragten für den Datenschutz abgestimmte Lösungsvor- 
schläge zu den bereits im 18. TB genannten und zu weiteren 
Schwerpunkten, wie z. B. der zwischenstaatlichen Rechts- 
und Amtshilfe und zu Kontrollmitteilungen, zugeleitet. Die- 
ser Katalog von V orschlägen wurde in einer hierfür einge- 
richteten Koordinierungsrunde, an der unter \6rsitz des BMF 
Vertreter einiger Finanzressorts der Länder sowie von Lan- 
desbeauftragten für den Datenschutz beteiligt waren, gründ- 
lich diskutiert. Flierbei konnte ich erkennen, dass die Finanz- 
verwaltung ernsthaft bemüht ist, den datenschutzrechtlichen 
Regelungsbedarf zur Er gänzung der Abgabenordnung zu 
prüfen und eine unter Berücksichtigung der steuerlichen Be- 
lange angemessene Lösung zu erreichen. Das BMF wird nun- 
mehr auf der Grundlage des Besprechungser gebnisses For- 
mulierungsvorschläge zur Ergänzung der Abgabenordnung 
ausarbeiten und mit den Finanz ressorts der Länder abstim- 
men. Anschließend sollen diese in der bereits erwähnten Ko- 
ordinierungsrunde erörtert werden. Ich würde es begrüßen, 
wenn auf dem jetzt eingeschlagenen Weg in absehbarer Zeit 
eine aus datenschutzrechtlicher Sicht zufrieden stellende Fas- 
sung der Abgabenordnung erreicht werden könnte. 

9.2 Bekämpfung des Umsatzsteuerbetrugs 
schränkt Datenschutz ein 

Mit dem Gesetz zur Bekämpfung von Steuerverkürzungen 
bei der Umsatzsteuer und zur Änderung anderer Steuer- 
gesetze (Steuerverkürzungsbekämpfungsgesetz - StVBG; 
BGBl. 2001 1 S. 3922) soll den Finanzbehörden ermöglicht 
werden, dem Umsatzsteuerbetrug in Fonn so genannter Ka- 
russellgeschäfte besser zu begegnen. Bei diesen wirken meh- 
rere Unternehmer zusammen, in der Absicht, die Möglichkeit 
des Vorsteuerabzugs missbräuchlich ausnutzen. Die bisher 
aufgedeckten betrügerischen Aktivitäten bewegen sich häufig 
in Größenordnungen mehrstelli ger Millionenbeträge (s. Ge- 
setzesbegründung in Bundestagsdrucksache 14/6883 S. 7). 
Besondere Aufmerksamkeit aus der Sicht des Datenschut- 
zes erfordern die in dem StVBG geregelte Umsatzsteuer - 
Nachschau ohne Ankündigung und die dort festgelegte 
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Verpflichtung der Unternehmer, ihre Steuemummer auf der 
Rechnung anzugeben. 

9.2.1 Umsatzsteuer-Nachschau ohne vorherige 
Ankündigung 

Die Finanzbehörden haben durch das StVBG mit einem 
neuen § 27b des Umsatzsteuergesetzes (UStG) die Möglich- 
keit erhalten, ohne Ankündigung und außerhalb einer Au- 
ßenprüfung Grundstücke und Räume von Personen, die eine 
gewerbliche oder berufliche Tätigkeit selbstständig aus- 
üben, während der Geschäfts- und Arbeitszeiten zu betreten, 
um Sachverhalte festzustelle n, die für die Besteuerung er- 
heblich sein können (Umsatzsteuer -Nachschau). Der Vor- 
schlag einer Nachschau ohne Ankündigung war zunächst im 
Referentenentwurf des BMF und auch noch in dem Regie- 
rungsentwurf für den Deutschen Bundestag allgemein als 
Regelung eines neuen § 88b Abgabenordnung - AO für alle 
Steuerarten vorgesehen. 

Hiergegen wandte ich mich zunächst in den Beratungen mit 
dem BMF und später in einem Schreiben an die Vorsitzende 
des Finanzausschusses des Deutschen Bundestages, in dem 
ich daraufhinwies, dass eine solche Maßnahme eine unan- 
gemessene und unverhältnismäßige Belastung des rechts- 
treuen Steuerpflichtigen darstellt. Dies galt umso mehr , als 
der Vorschlag jeweils nur mit dem Ziel einer wirksamen Be- 
kämpfung des Umsatzsteuerbetrugs begründet wurde. Ich 
konnte schließlich erreichen, dass die Möglichkeit einer un- 
angekündigten Nachschau vom Gesetzgeber in § 27b UStG 
allein für den Bereich der Umsatzsteuer geregelt wurde. 

Angesichts der außerordentlichen Höhe der Schäden durch 
Umsatzsteuerbetrug erscheint es grundsätzlich vertretbar , 
für die Finanzbehörden die Möglichkeit zu schaffen, Unter- 
nehmen ohne Ankündigung zu kontrollieren. Meiner Emp- 
fehlung, die Geltung der V orschrift zeitlich zu befristen, 
damit Wirksamkeit und V erhältnismäßigkeit der Maß- 
nahme nach angemessener Zeit gewissermaßen „automa- 
tisch“ überprüft werden müssen, wurde zwar nicht entspro- 
chen. Der Finanzausschuss ha t aber die Bundesregierung 
aufgefordert, zu dem StVBG „nach zwei Jahren einen Er- 
fahrungsbericht vorzulegen, der insbesondere die daten- 
schutzrechtlichen Tatbestände betrifft“ (Bundestagsdruck- 
sache 14/7471 S. 7). Ich werde diesen Bericht aufmerksam 
prüfen. 

9.2.2 Steuernummer auf der Rechnung 
des Unternehmers 

Weiterhin schreibt das StVBG in einem neuen Absatz la des 
§ 14 des UStG vor , dass der Unternehmer in seinen Rech- 
nungen die ihm vom Finanzamt erteilte Steuemummer an- 
zugeben hat. Diese Regelung war im Regierungsentwurf für 
das StVBG (Bundestagsdrucksache 14/6883) nicht enthal- 
ten und ist erst im Laufe de r parlamentarischen Beratungen 
eingefügt worden (Bundestagsdrucksache 14/7471 S. 7). Im 
Rahmen der Anhörung zum Regierungsentwurf hatte ich 
zwar Gelegenheit, aufgrund einer entsprechenden Frage 
darauf hinzuweisen, dass eine solche Verpflichtung für die 
Unternehmen, die von Einzelpersonen gebildet werden, ei- 
ner gesetzlichen Grundlage bedarf. Im Übrigen war ich an 
der Formulierung der Vorschrift aber leider nicht beteiligt. 

Die Angabe der Steuemummer auf der Rechnung soll die 
Überprüfung der Lieferantenketten erleichtern und be- 


schleunigen und so zur Bekämpfung des Umsatzsteuer- 
betrugs beitragen (Bundestagsdrucksache 14/7085 S. 1, 
s. auch Bundestagsdrucksache 14/7471 S. 7). V on der Not- 
wendigkeit dieser V erpflichtung bin ich allerdings nicht 
überzeugt, da die Mitarbeiteri nnen und Mitarbeiter der Fi- 
nanzämter auch anhand der Anschrift des Unternehmens auf 
der Rechnung in der Regel in der Lage sein dürften, das zu- 
ständige Finanzamt schnell zu ermitteln. 

Nach ihrem Wortlaut gilt die V orschrift für alle Unterneh- 
mer. Mit dem BMF-Schreiben an die Obersten Finanzbehör- 
den der Länder vom 28. Juni 2002 werden zwar z. B. Klein- 
untemehmer von der V erpflichtung zur Angabe der 
Steuemummer ausgenommen. Für mich ist jedoch nicht er- 
kennbar, auf welche Weise etwa Rechtsanwälte oder Steuer- 
berater - mit dem StVBG zu unterbindende - Karussellge- 
schäfte durchführen und so Umsatzsteuerbetrug begehen 
können. Es widerspricht dem Grundsatz der V erhältnis- 
mäßigkeit, wenn Unternehmer zur Angabe der Steuemum- 
mer verpflichtet werden, obwohl dies nach dem Zweck des 
Gesetzes nicht erforderlich ist. So könnte man auch daran 
denken, solche Unternehmer von dieser V erpflichtung aus- 
zunehmen, die nur Leistungen erbringen und keine W aren 
liefern, oder anstelle der für Kleinuntemehmer maßgebli- 
chen Grenze des § 19 UStG für den vorliegenden Zusam- 
menhang eine höhere Grenze wählen, ab der die V erpflich- 
tung zur Angabe der Steuemummer besteht. Auch sollte 
geprüft werden, die V erpflichtung zur Angabe der Steuer- 
nummer für die Fälle aufzuheben, in denen Rechnungen an 
Privatkunden ausgestellt werden, die nicht zum V orsteuer- 
abzug berechtigt sind. Ich habe das BMF hierzu und auch 
zur Frage der Notwendigkeit der Angabe der Steuemummer 
um Stellungnahme gebeten. Eine Antwort lag mir bei Re- 
daktionsschluss noch nicht vor. 

ln Eingaben werden immer wieder Bedenken erhoben, 
Dritte könnten mit der Steuemummer bei den Finanzämtern 
Steuerdaten des Inhabers de r Nummer erfragen. Das BMF 
hat mir hierzu mitgeteilt, die Beschäftigten der Finanzver- 
waltung seien verpflichtet, sich vor der Erteilung von Aus- 
künften - insbesondere am T elefon — gerade im Hinblick 
auf die notwendige W ahmng des Steuergeheimnisses von 
der Berechtigung des Anfragenden zu überzeugen. Anhalts- 
punkt könne neben Detailkenntni ssen des Anfragenden aus 
dem Steuervorgang auch die Steuernummer sein. Persönli- 
che Kenntnis des Steuerpflichtigen oder ein Rückruf könn- 
ten Gewissheit verschaf fen. Die Kenntnis der Steuernum- 
mer stelle bisher lediglich ein Indiz für die Identität des 
Anrufers dar. Alleinige Legitimationswirkung sei ihr bisher 
nicht zugekommen. Dies gelte in Zukunft erst recht. Ich 
gehe davon aus, dass die Mitarbeiterinnen und Mitarbeiter 
der Finanzämter dies beachten. 

Neben der Umsatzsteuer -Nachschau werde ich aber auch 
diesen Punkt genau prüfen und gegebenenfalls gegenüber 
dem Finanzausschuss des Deutschen Bundestages aufgrei- 
fen. Ausgangspunkt hierfür wird sein, dass die Bundesregie- 
rung nach zwei Jahren ihren Bericht zu den Instrumenten 
des StVBG vorlegt (s. oben Nr. 9.2.1). 

9.3 Steuernummer auf der Freistellungs- 
bescheinigung bei Bauleistungen 

Das Gesetz zur Eindämmung illegaler Betätigung im Bau- 
gewerbe (BGBl. 2001 I S. 2267, s. auch S. 3794) verpflich- 
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tet den Unternehmer, zur Sicherung von Steueransprüchen 
bei Bauleistungen von den Za hlungen für die ihm gegen- 
über erbrachten Bauleistungen einen Steuerabzug von 15 % 
vorzunehmen und diesen Betrag an das Finanzamt abzufüh- 
ren (§§ 48, 48a Einkommensteuer gesetz - EStG). Der Er- 
bringer der Bauleistung kann den Steuerabzug vermeiden, 
indem er dem Unternehmer eine von seinem Finanzamt aus- 
gestellte Freistellungsbescheinigung vorlegt (§ 48b EStG). 
Darin ist neben dem Namen un d der Anschrift des jeweili- 
gen Betriebes auch dessen Steuernummer anzugeben, die 
für die Nachfrage des Unternehmers beim Finanzamt wegen 
der Gültigkeit der Bescheinigung (s.o. dazu) benötigt wird. 
Wie bei dem unter Nr . 9.2.2 behandelten Sachverhalt wur- 
den auch hier von Petenten immer wieder Bedenken dage- 
gen erhoben, dass Dritte, die durch V orlage der Freistel- 
lungsbescheinigung die Steuernummer erfahren, bei den 
Finanzämtern unbefugt die St euerdaten des Inhabers der 
Steuernummer erfragen können. Hierzu ist auf die unter 
Nr. 9.2.2 für einen insoweit gleichartigen Sachverhalt näher 
dargelegte Mitteilung des BMF zu verweisen, nach der die 
Beschäftigten der Finanzverwaltung insbesondere im Hin- 
blick auf die notwendige W ahrung des Steuergeheimnisses 
verpflichtet sind, sich von der Identität eines Anrufers zu 
überzeugen. 

Der Unternehmer haftet für einen nicht oder zu niedrig ab- 
geführten Steuerbetrag. Um sich daher von der Gültigkeit 
der ihm vorgelegten Freistellungsbescheinigung überzeugen 
zu können, wurde neben der Möglichkeit, hierzu bei dem 
zuständigen F inanzamt nachzu fragen, beim Bundesamt für 
Finanzen eine elektronische Datenbank eingerichtet (§ 48b 
Abs. 6 EStG). Dort hat der Unternehmer die Steuemummer 
desjenigen, auf den sich die Freistellungsbescheinigung be- 
zieht, anzugeben. Sie ist erforderlich, um die in der Daten- 
bank gespeicherte Bescheinigung aufzurufen. Eine bei der 
Abfrage auch anzugebende Sicherheitsnummer , die vom 
Finanzamt auf der Freistei lungsbescheinigung vermerkt 
wird, grenzt den Kreis der Abfragenden auf die Personen 
ein, denen die Freistellungsbe scheinigung Vorgelegen hat. 
Nicht zuletzt gibt der Unternehmer seine eigene Steuernum- 
mer ein, um durch die vor gesehene Protokollierung seiner 
Anfrage im Interesse eines Haftungsausschlusses den Nach- 
weis zu sichern, dass er sich über die Gültigkeit der Freistel- 
lungsbescheinigung vergewissert hat. Die Abfrage des Un- 
ternehmers und die ihm zugeleitete Antwort werden über 
eine sichere SSL-Verbindung verschlüsselt übertragen. 

Insbesondere aufgrund der hier eingegangenen Eingaben 
habe ich mich über den Sachverhalt unterrichtet; ich sehe 
insoweit keine Bedenken. Lediglich wegen fehlender Lö- 
schungsfristen habe ich mich an das BMF gewandt. Es hat 
darauf hingewiesen, dass hi erzu Erfahrungen gesammelt 
werden müssten. Die Diskussion mit dem BMF dauert an. 

9.4 „Riester-Rente“ erfordert 

datenschutzrechtliche Vorkehrungen 

Die Voraussetzungen und das Verfahren für die als „Riester - 
Rente“ bekannt gewordene Altersvorsorgezulage wurden mit 
dem Gesetz zur Refonn der gesetzlichen Rentenversicherung 
und zur Förderung eines kapitalgedeckten Altersvorsorgever- 
mögens (Altersvermögensgesetz — A VmG; BGBl. 2001 1 
S. 1310) in einem neu in das Einkommensteuergesetz einge- 
fügten Abschnitt „XI. Altersvorsor gezulage“ festgelegt. 
Notwendige Änderungen und Ergänzungen hierzu enthalten 


das Steueränderungsgesetz 2001 (StÄndG 2001; BGBl. 

2001 1 S. 3794), das V ersorgungsänderungsgesetz 2001 
(BGBl. 2001 I S. 3926) und das Hüttenknappschaftliche Zu- 
satzversicherungs-Neuregelungs-Gesetz (HZvNG; BGBl. 

2002 IS. 2167). 

Für den Aufbau einer zusätzlichen Altersversorgung werden 
Beiträge gefördert, die ein Anleger zugunsten eines auf sei- 
nen Namen lautenden, bestimmten Anforderungen entspre- 
chenden Altersvorsorgevertrags mit einem Anbieter (z. B. 
Versicherungsuntemehmen, Kreditinstitut) leistet. Gefördert 
werden aber auch Zahlungen aus dem Arbeitslohn, etwa an 
eine Pensionskasse, wenn di ese bestimmte Mindeststan- 
dards einhält. Soweit es für ihn günstiger ist, kann der Anle- 
ger seine Aufwendungen für di e zusätzliche Altersvorsorge 
stattdessen auch als Sondera usgaben beim Finanzamt gel- 
tend machen. 

Die Zulagen werden durch die zentrale Stelle bei der Bun- 
desversicherungsanstalt für Angestellte verwaltet. Sie erhält 
von dem Anbieter die bei dem Anleger erhobenen Daten, sie 
stellt vor allem die Berechtigung und die Höhe der Zulage 
fest und veranlasst deren Auszahlung an den Anbieter , der 
diese dem Anleger auf dessen Konto gutschreibt. Für die 
Überprüfung der Zulage und des Sonderausgabenabzugs 
übermitteln ihr die T räger der gesetzlichen Rentenversiche- 
rung, die Bundesanstalt für Arbeit, die Meldebehörden, die 
Familienkassen und die Finanzämter auf Anforderung die 
bei ihnen insoweit vorhandenen Daten. Die für die Besol- 
dung oder die Amtsbezüge zust ändigen Stellen und in be- 
sonderen Fällen auch Arbeitgeber teilen der zentralen Stelle 
ebenfalls bestimmte Daten mit. 

Insgesamt werden von den beteiligten Stellen für das Zula- 
geverfahren in erheblichem Umfang Daten erhoben, verar- 
beitet und genutzt. Im Rahmen der Beratungen des Vermitt- 
lungsausschusses zum Altersvermögensgesetz zog das BMF 
daher zur Erörterung der erst zu diesem Zeitpunkt erarbeite- 
ten Vorschriften für die Altersvorsor gezulage Mitarbeiter 
meines Hauses hinzu. Meine datenschutzrechtlichen Emp- 
fehlungen wurden in dem Entwurf berücksichtigt. Auch 
spätere ergänzende Regelungen insbesondere des HZvNG 
wurden mit mir abgestimmt. 

Folgende Beispiele datenschutzrechtlich relevanter Rege- 
lungen seien genannt: Es wurde festgelegt, welche Arten 
von Daten der Anbieter beim Anleger zu erheben und an die 
zentrale Stelle zu übermitteln hat (§ 89 Abs. 2 Einkommens- 
steuergesetz - EStG) und dass der Anbieter diese Daten nur 
für das Zulageverfahren verwerten darf (§ 96 Abs. 6 EStG). 
Damit die T räger der Rentenversicherung der zentralen 
Stelle dort vorhandene Sozialdaten der Anleger übermitteln 
können, bedurfte es u. a. einer Er gänzung des Zehnten 
Buchs Sozialgesetzbuch (§ 71 Abs. 1 Satz 1 Nr. 10 SGB X). 
Mit der Einrichtung der zentralen Stelle als einer Finanzbe- 
hörde (§ 6 Abs. 2 Nr. 7 Abgabenordnung - AO) werden die 
ihr bekannt gewordenen Daten dem besonderen Schutz des 
Steuergeheimnisses unterstellt (§ 96 Abs. 1 EStG). Für den 
zur Überprüfung der Zulage und des Sonderausgabenabzugs 
erforderlichen Datenabgleich der zentralen Stelle wurde 
eine gesetzliche Grundlage geschaffen (§91 EStG). Eine er- 
gänzende Rechtsverordnung re gelt vor allem Einzelheiten 
des vielfältigen Datenaustauschs zwischen beteiligten Stel- 
len (Altersvorsorge-Durchführungsverordnung vom 17. De- 
zember 2002, BGBl. 2002 1 S. 4544). 
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Das BMF hat sich bei diesem Vorhaben sehr darum bemüht, 
die datenschutzrechtlichen Erfo rdemisse zu berücksichti- 
gen. Dies schließt nicht aus, dass im Hinblick auf den außer- 
ordentlich großen Umfang notwendiger Datenverarbeitung 
in der Praxis noch V erbesserungsbedarf sichtbar werden 
könnte. Ich werde das Vorhaben aufmerksam beobachten. 

9.5 Unzulässige Offenbarung 
von Steuerdaten 

Eine Petentin war bei einem öf fentlich-rechtlichen Kredit- 
institut als technische Angest eilte beschäftigt und erhielt 
von diesem als Arbeitgeber Kindergeld. Aufgrund eines Er- 
fassungsfehlers erhielt sie me hrere Jahre lang gleichzeitig 
auch von der Familienkasse des zuständigen Arbeitsamtes 
Kindergeld. Nachdem dieser Sachverhalt zwischen den bei- 
den beteiligten Familienkassen bereits abschließend geklärt 
war, bat die Personalabteilung des Kreditinstitutes die Fami- 
lienkasse des Arbeitsamtes im Hinblick auf eine beabsich- 
tigte Kündigung des Arbeitsverhältnisses um Auskunft, für 
welchen Zeitraum Kindergeld von dort an die Petentin ge- 
zahlt worden war . Die Auskunft über diese dem Steuer- 
geheimnis unterliegenden Angaben wurde erteilt. 

Nach § 30 Abs. 4 Nr . 5 Abgabenordnung - AO ist die Of- 
fenbarung von Daten, die dem Steuergeheimnis unterliegen, 
gestattet, wenn hierfür ein zwingendes öffentliches Interesse 
besteht. Ein solches hätte bejaht werden können, wenn es 
um die Klärung des Sachverhaltes hinsichtlich der zu Un- 
recht doppelt verausgabten öf fentlichen Mittel gegangen 
wäre. Dies war aber gerade nicht der Fall, denn die Daten- 
übermittlung diente ausschließ lieh dazu, arbeitsrechtliche 
Maßnahmen gegen die Petentin zu ergreifen. 

Das BMF sieht die Rechtfertigung für die Datenübermittlung 
in dem Interesse des Staates an dem Erhalt der Funk- 
tionsfähigkeit und der Integrität des öf fentlichen Dienstes. 
Ich bezweifele nicht, dass dieses Interesse ein erhebliches 
Gewicht hat und hierbei auch das V erhalten der Mitarbeiter 
innerhalb und außerhalb des öffentlichen Dienstes zu berück- 
sichtigen ist. Angesichts der Tätigkeit der Petentin als techni- 
sche Angestellte war nicht erkennbar, inwiefern ihr Verhalten 
die Funktionsfähigkeit des öffentlichen Dienstes infrage ge- 
stellt hätte. Auch unter dem Aspekt der Integrität des Kredit- 
institutes war im Hinblick auf die Stellung der Petentin inner- 
halb des Kreditinstitutes ein schwerer Nachteil im Sinne 
einer Schädigung des Ansehens des Kreditinstitutes nicht er- 
sichtlich. Die Voraussetzung eines zwingenden öf fentlichen 
Interesses im Sinne des § 30 Abs. 4 Nr. 5 AO war somit nicht 
gegeben. Ich habe die unzulässige Datenübermittlung der Fa- 
milienkasse an das Kreditinstitut daher als V erstoß gegen 
§ 30 Abs. 1 und 2 Nr. 1 Buchstabe a) AO beanstandet. 

9.6 Daten sind grundsätzlich beim 
Betroffenen zu erheben 

Ein Petent wandte sich an mic h, da die für die Zahlung des 
Kindergeldes zuständige Fam ilienkasse des Arbeitsamtes 
bei dem Arbeitgeber seiner Tochter Daten erhoben hatte. 
Circa drei Monate vor Beendigung der Ausbildung seiner 
Tochter hatte der Petent der Familienkasse das voraussicht- 
liche Ende der Ausbildung mitgeteilt. Unverzüglich nach 
dem erfolgreichen Bestehen der Abschlussprüfung seiner 
Tochter übersandte er der Familienkasse eine noch vor dem 
Prüfüngstag ausgestellte Arbeitgeberbescheinigung. Hier- 


aus ging noch nicht das Arbeitsentgelt der T ochter des Pe- 
tenten für die Zeit ab Prüfungstag bis Ende des letzten Aus- 
bildungsmonats hervor. Wegen dieser noch fehlenden 
Angabe wandte sich die Fam ilienkasse unmittelbar an den 
Arbeitgeber der Tochter des Petenten. 

Eine Notwendigkeit für die Anfrage der Familienkasse bei 
dem Arbeitgeber der T ochter bestand nicht. Nach § 93 
Abs. 1 Satz 3 Abgabenordnung - AO sollen andere Perso- 
nen als die Beteiligten erst dann zur Auskunft angehalten 
werden, wenn die Sachverhaltsaufklärung durch die Betei- 
ligten nicht zum Ziel führt ode r keinen Erfolg verspricht. 
Diese Voraussetzungen waren jedoch hier nicht gegeben. 
Der Petent ließ der Familienkasse alle erforderlichen Infor- 
mationen zukommen, über die er bei Übersendung der Ar- 
beitgeberbescheinigung verfügte. Die Familienkasse hatte 
keinen Anhaltspunkt dafür, dass der Petent die noch feh- 
lende Information nicht beibringen würde. Die Familien- 
kasse hätte sich daher zunächst an den Petenten wenden 
müssen. Ich habe die unzulässige Datenabfrage wegen V er- 
stoßes gegen § 93 Abs. 1 Satz 3 AO beanstandet. 

9.7 Angaben der Bundeswertpapier- 
verwaltung in der Bescheinigung 
für das Finanzamt 

Ein Petent hat mich gebeten, darauf hin zu wirken, dass ihm 
von der Bundeswertpapierverwaltung (BWpV) eine Zins- 
und Steuerbescheinigung ausgestellt wird, die nur die nach 
§ 45a Abs. 2 Satz 1 Nr . 1 bis 5 Einkommensteuergesetz - 
EStG vorgeschriebenen Angaben enthält, ln der dem Peten- 
ten ausgestellten Bescheinigung waren zusätzlich Informati- 
onen zum Wertpapier und Nennwert der Anlage sowie die 
Wertpapier-Kenn-Nummer angegeben. Die Bescheinigung 
war im Original dem Finanzamt vorzulegen und es bestand 
keine Möglichkeit, den Teil mit den amtlich vor geschriebe- 
nen Angaben von den zusätzlichen Informationen abzutren- 
nen. Zuvor hatte sich der Petent bereits vergeblich an die 
BWpV gewandt. Diese hatte sein Anliegen unter Hinweis 
auf ein im Bundessteuerblatt veröf fentlichtes Muster für 
maschinell erstellte Steuerbescheinigungen abgelehnt. 

Nachdem ich den Sachverhalt mit dem BMF erörtert habe, 
wurde auch von diesem die Notwendigkeit einer Änderung 
beim Aufbau der Zins- und Steuerbescheinigung nach § 45a 
EStG anerkannt. Aufgrund eines er gänzenden BMF-Erlas- 
ses dürfen nunmehr in der Steuerbescheinigung ausschließ- 
lich die in § 45a Abs. 2 Satz 1 Nr. 1 bis 5 EStG amtlich vor- 
geschriebenen Angaben aufgeführt werden. Dem Petenten 
wurde daraufhin von der BWpV eine Steuerbescheinigung 
übersandt, die nur die gesetzlich vorgeschriebenen Angaben 
enthält. Die notwendigen Programmänderungen bei den au- 
tomatisiert erstellten Steuerbescheinigungen wurden von 
der BWpV in die Wege geleitet. 

9.8 Auskunftsersuchen von Finanzämtern an 
Telekommunikationsdiensteanbieter 

ln meinem 18. TB (Nr. 7.4) habe ich berichtet, dass Finanz- 
ämter bei Telekommunikationsdiensteanbietem Namen und 
Bankverbindungen von V ollstreckungsschuldnem - das 
sind Personen, gegen die sich ein V ollstreckungsverfahren 
nach § 249 Abgabenordnung (AO) richtet - erfragen. Derar- 
tige Auskunftsersuchen sind nach übereinstimmender Auf- 
fassung des BMW i, BMJ und mir nicht zulässig, wenn sie 
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sich nur auf § 93 AO beziehen, d. h. keinen Bezug zu einer 
Steuerstraftat oder Ordnungswidrigkeit erkennen lassen. 
Dies ergibt sich aus § 89 Abs. 6 T elekommunikationsge- 
setz - TKG, wonach Kundendaten nur unter den dort ge- 
nannten Voraussetzungen an bestimmte andere in der V or- 
schrift genannte öf fentliche Stellen übermittelt werden 
dürfen. Das BMF lehnt jedoch ein Auskunftsverweige- 
rungsrecht der T elekommunikationsdiensteanbieter unter 
Hinweis auf die §§ 101 ff. AO, die nach seiner Ansicht die 
Anwendung des § 89 Abs. 6 TKG ausschließen, ab. ln sei- 
nem Schreiben an die oberste n Finanzbehörden der Länder 
vom 7. Januar 1997 hatte das BMF bereits seine von den ge- 
nannten Bundesressorts und mir abweichende Auf fassung 
dargelegt. Dieses Schreiben bildet eine wesentliche Ursache 
für eine V ielzahl unrechtmäßiger Auskunftserteilungen 
durch Netzbetreiber, die vermeiden wollen, von Finanzäm- 
tern wegen Auskunftsverweigerung mit Zwangsmaßnah- 
men belegt zu werden. 

Das BMF hat mir weiterhin mitgeteilt, dass es erst dann zu 
einer Überprüfung seiner Rechtsauffassung bereit sei, wenn 
eine Entscheidung des Bundesfinanzhofs im Sinne der von 
BMWi, BMJ und mir vertretenen Rechtsauffassung vorläge. 
Ich habe daher das vorgenannte BMF-Schreiben wegen Ver- 
stoßes gegen § 89 Abs. 6 TKG beanstandet. 

Der Deutsche Bundestag hat in seiner Entschließung zum 
18. TB erklärt, er erwarte, dass die Bundesregierung in 
der dargestellten Frage zu einer einheitlichen Auf fassung 
gelange (Empfehlungen des Innenausschusses, Bundes- 
tagsdrucksache 14/9490 vom 18. Juni 2002, Plenarproto- 
koll 14/248 der 248. Sitzung am 4. Juli 2002, S. 25174). 
Ich bin mit dem BMF übereingekommen, die Problema- 
tik im Rahmen der Gespräche über die datenschutzrecht - 
lichen Belange in der AO (s. o. Nr. 9.1) zu erörtern. 

9.9 Task Force Leuna/Minol darf 

personenbezogene Daten erheben 

Vor dem Hintergrund von Presseberichten über die so ge- 
nannte task force Leuna/Minol hat mich das BMI im Auftrag 
einer Gesprächsrunde unter Leitung des BMF gebeten, die 
Tätigkeit der Arbeitsgruppe Koordinierte Ermittlungen 
(AKE) und insbesondere die der Mitarbeiter der task forces 
datenschutzrechtlich zu bewerten. Die AKE wurde im Jahre 
1996 in W eiterentwicklung von Besprechungen der ver- 
schiedenen für das Vermögen der ehemaligen DDR zustän- 
digen Behörden wie BMF, Treuhandanstalt (THA (/Bundes- 
anstalt für vereinigungsbedingte Sonderaufgaben (BvS), 
BMI und Unabhängige Kommission zur Überprüfung des 
Vermögens der Parteien und Massenorganisationen der DDR 
beim BMI im Bundeskanzleramt durch das BMF eingerichtet. 
Neben den bereits genannten Stel len sind dort unter V orsitz 
des BMF regelmäßig auch da s BKA, die Zentrale Ermitt- 
lungsstelle der Kriminalpolizei für Regierungs- und V ereini- 
gungskriminalität beim Polizeipräsidenten in Berlin und wei- 
tere Stellen vertreten (s. Bundestagsdrucksache 13/10900 
S. 347). Die AKE tritt etwa zweimal im Jahr zusammen. Ihre 
Aufgabe ist es, Erkenntnisse der verschiedenen Stellen zu 
Ansprüchen der Bundesrepubl ik Deutschland im Zusam- 
menhang mit der \feruntreuung von DDR- Vermögen und Be- 
trugsfällen zum Nachteil des Bundes bzw. der THA/BvS zu- 
sammenzuführen und durch darauf aufbauende eigene 
Nachforschungen die zivilr echtliche Durchsetzung von 
Rechtsansprüchen des Bundes zu optimieren. 


Zur Umsetzung der Beschlüsse der AKE wurde die Ge- 
schäftsstelle der AKE (G-AKE), bestehend aus deren Leiter 
und in der Regel vier task forces, bei der im Geschäfts- 
bereich des BMF angesiedelten BvS eingerichtet. Der Leiter 
der G-AKE leitet gleichzeitig die task forces, denen im Juni 
2002 elf Berater (z. B. beurlaubte Steuerfahnder , Zollfahn- 
der, Beamte des Bundesrechnungshofs mit privatrechtlichen 
Beraterverträgen) angehörten. 

Um den Komplex Leuna/Minol daraufhin zu untersuchen, 
ob der Bundesrepublik Deutschland bzw . ihren Einrichtun- 
gen aufgrund eines vorwerfbaren V erhaltens ein Schaden 
entstanden ist und dementsprechend zivilrechtliche Schritte 
einzuleiten sind, wurde auf W eisung des BMF im Septem- 
ber 2000 bei der BvS die task force Leuna/Minol geschaf- 
fen. Alle task forces haben bei einer Reihe von Behörden 
wie etwa dem BMW i oder bei verschiedenen Staatsanwalt- 
schaften personenbezogene Daten erhoben und hierüber an 
die AKE, die task force Leuna/Minol auf Weisung des BMF 
auch unmittelbar an diese berichtet. Die task force Leuna/ 
Minol hat inzwischen ihre Tätigkeit beendet. 

Voraussetzung für meine datenschutzrechtliche Bewertung 
war zunächst, die organisatorischen Strukturen der beteilig- 
ten Stellen festzustellen und zu bewerten. V erbindliche Re- 
gelungen über das dar gestellte Organisationsgefüge waren 
nicht vorhanden. Auch gab es bisweilen widersprüchliche 
Äußerungen in den mir überlassenen Unterlagen, sodass 
eine Reihe von Zweifeln insbesondere hinsichtlich der Ein- 
bindung der task force Leuna/Minol in die G-AKE zu klären 
war. Für die AKE und deren Geschäftsstelle gab es jeweils 
Entwürfe für eine Geschäftsordnung, die von der AKE nur 
im Grundsatz gebilligt bzw . nur als weitere Arbeitsgrund- 
lage bestimmt worden waren. W eitere Hinweise auf die 
Strukturen der Organisation ergaben sich aus den Sitzungs- 
protokollen der AKE, W eisungen in Erlassen, einzelnen 
Schreiben beteiligter Stellen und Erläuterungen von Betei- 
ligten. 

Insgesamt ließ sich hiernach feststellen, dass die AKE selbst 
als öffentliche Stelle des B undes i. S. d. § 2 BDSG mit der 
Aufgabe anzusehen ist, auf der Grundlage des § 34 Abs. 1 
Bundeshaushaltsordnung möglichen Schadensersatzansprü- 
chen der öffentlichen Hand nachzugehen. Die für sie tätige 
G-AKE ist zwar ein T eil der BvS und damit gegenüber der 
AKE organisatorisch selbstständig. Sie ist dieser jedoch zur 
Aufgabenerfüllung im Wege der Organleihe (s. BVerfGE 63, 
1, 3 lf.) zugeordnet. Als T eil der BvS, d. h. einer Anstalt des 
öffentlichen Rechts, ist sie befugt, im Rahmen der Zuständig- 
keit der AKE aufgrund des BDSG durch die Mitarbeiter ihrer 
task forces, insbesondere auch der task force Leuna/Minol, 
die zur Erfüllung ihrer Aufgabe erforderlichen personenbezo- 
genen Daten zu erheben, zu verarbeiten und zu nutzen. 

Im vorliegenden Fall bestanden zunächst mangels organisa- 
torischer Klarheit Zweifel an der datenschutzrechtlichen 
Zulässigkeit des Handelns der Mitarbeiter der task forces. 
Dies sollte Anlass sein, auch im Hinblick auf die Anforde- 
rungen des Datenschutzes künftig stets für Klarheit und 
Übersichtlichkeit der Organisation zu sorgen. 

9.10 Software für EG-Zollinformationssystem 
- EG-ZIS - korrigiert 

In meinem 18. TB (Nr. 7.9) habe ich dargelegt, dass die EG- 
Amtshilfeverordnung Nr. 515/97 vom 13. März 1997 nach 
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Auffassung der Bundesregierung und auch nach meiner 
Auffassung keine ausreichende Rechtsgrundlage darstellt, 
um einen spontanen Informat ionsaustausch zwischen den 
EU-Mitgliedsstaaten zu ermöglichen. Nach der Definition 
in Artikel 27 Abs. 1 dieser V erordnung ist das EG-ZIS le- 
diglich als eine Ausschreibungsdatei angelegt. Das seiner- 
zeit von der Kommission vor gestellte Software-Programm, 
das es ermöglichte, komplexe Sachverhalte bildlich darzu- 
stehen und Querverbindungen zu anderen Sachverhalten 
aufzuzeigen, ging hierüber weit hinaus. 

Inzwischen hat sich die Kommission den deutschen Beden- 
ken, die auch von anderen Mitgliedsstaaten geteilt werden, 
angeschlossen und die Software entsprechend überarbeitet. 
Diese hat nunmehr nur noch den Charakter einer Ausschrei- 
bungsdatei, die den Zollbeamten bei der Erledigung seiner 
Aufgaben mit konkreten Infonnationen für den Einzelfall 
unterstützt. Gegen eine Einf ührung dieser überarbeiteten 
Software habe ich keine da tenschutzrechtlichen Bedenken. 
Die Inbetriebnahme des EG-ZIS ist für das Jahr 2004 vorge- 
sehen. 

Mittelfristig wird von der Kommission und den Mitglieds- 
staaten weiterhin eine erweiterte Software angestrebt, die es 
den Mitgliedsstaaten ermöglichen soll, zusätzliche Infonna- 
tionen auszutauschen. Dies ist datenschutzrechtlich vertret- 
bar, wenn im erforderlichen Umfang eine Er gänzung des 
Artikel 27 der genannten Verordnung erfolgt. 

10 Wirtschaft 

10.1 Bundeseinheitliche Wirtschaftsnummer in 

der Erprobung 

ln meinem 18. TB (Nr . 30.2) habe ich über meine Beteili- 
gung an den V orbereitungen eines Erprobungsgesetzes für 
eine einheitliche Unternehmensnummer berichtet. Aus da- 
tenschutzrechtlicher Sicht war dabei entscheidend, die zu 
erhebenden Daten und deren Verwendungszwecke abschlie- 
ßend festzuschreiben. Die vorgesehene eingeschränkte Ver- 
wendung musste gewährleisten, dass die Nummer sich nicht 
zu einem allgemeinen Personenkennzeichen entwickeln 
kann, obwohl auch natürliche Personen einbezogen werden. 

Am 22. Mai 2002 wurde das Gesetz zur V orbereitung einer 
bundeseinheitlichen Wirtschaftsnummer verkündet (BGBl. 1 
S. 1644), das meinen Empfehlungen weitestgehend ent- 
spricht. Die Erprobung wird in den Jahren 2002 und 2003 in 
Bayern durchgeführt und von ei nem Beirat, dem ich ange- 
höre, begleitet. Zu den Date nschutzaspekten, die im Rah- 
men der Erprobung zu beobachten und bei einem späteren 
Gesetzentwurf zu diskutieren sein werden, gehören insbe- 
sondere Fragen zur so genannten Abschneidegrenze und zur 
Erfassung von Privatpersonen, die eine Haushaltshilfe be- 
schäftigen. Weiterhin zählen dazu die Forderung, dass es 
sich um eine „nicht sprechende Nummer“ (also ohne er- 
kennbaren Personenbezug) handeln muss sowie die Fragen, 
ob der Stammdatensatz erweitert werden darf und inwieweit 
Rückmeldungen von den statistischen Ämtern zugelassen 
werden sollen. 

Mit der derzeitigen Abschneidegrenze wird festgelegt, dass 
Kleinstgewerbetreibende und Freiberufler ohne Fremdbe- 
schäftigte mit einem jeweiligen Umsatz unter 16 620 Euro 
pro Jahr von dem Anwendungsbereich der Wirtschaftsnum- 
mer ausgenommen sind. Dagegen bestehen jedoch T enden- 


zen, unter Hinweis auf möglichst vollzählige Erfassung von 
wirtschaftlichen Bereichen, z. B. auch angestellte Freiberuf- 
ler (wie Ärzte oder Rechtsanwälte) einzubeziehen. 

Bezüglich der Erforderlichkeit der Erfassung privater Haus- 
halte mit einer Haushaltshilfe konnte ich mich nicht durch- 
setzen. Das Argument, diese Personen hätten bereits in der 
Vergangenheit eine eigene Betriebsnummer erhalten, über- 
zeugt mich ebenso wenig wie der Hinweis auf das Ziel, 
möglichst viele Nummemsysteme zu ersetzen. Für mich ist 
nicht erkennbar, welche V erwaltungsabläufe in welchem 
Umfang vereinfacht würden. Der infrage kommende Perso- 
nenkreis beträgt ca. 2 % der Bevölkerung; käme hier au- 
ßerdem die Abschneidegrenze von 1 6 620 Euro zur An- 

wendung, so wäre die Zahl der betrof fenen Personen 
verschwindend gering. Ich bin darüber hinaus der Auf fas- 
sung, dass es sich hier eher um einen Bereich der privaten 
Lebensführung handelt als um wirtschaftliche Betätigung 
im eigentlichen Sinne. 

Die jetzt erprobte W irtschaftsnummer ist neunstellig und 
lässt keine Rückschlüsse auf di e wirtschaftlich Tätigen zu. 
Sie setzt sich zusammen aus einer „führenden“ Null und der 
achtstelligen Betriebsnummer der Bundesanstalt für Arbeit. 
Es bestehen aber auch hier Wünsche der V erwaltung, die 
Nummer sortierfähig und auswertbar zu machen und in an- 
dere bestehende Nummernsysteme zu integrieren. Dabei 
kommt es aus Datenschutzsicht entscheidend darauf an, 
dass sie „nicht sprechend“ bleibt. 

Bezüglich des Stammdatensatzes weisen die künftigen An- 
wender daraufhin, dass die Synergieeffekte mit der Menge 
der Daten pro W irtschaftseinheit zunähmen und daher die 
Grenzen der zu erfassenden Daten nicht zu eng gesetzt wer- 
den sollten. Dem ist jedoch die Zweckbestimmung der ein- 
heitlichen Wirtschaftsnummer entgegenzuhalten, d. h. die 
Vielfalt bestehender Nummernsysteme zu ersetzen und 
nicht Wirtschaftsprofile und - durch die Einbeziehung von 
Privatpersonen und Freiberuflern - auch Personenprofile zu 
ermöglichen. 

Auf dem datenschutzrechtlichen Prüfstand steht auch noch 
der Wunsch der Statistik nach Rückmeldungen, wenn bei 
der Plausibilisierung eines gerne ldeten Datensatzes festge- 
steht wird, dass z. B. die bei der Statistik gespeicherte Zu- 
ordnung eines Betriebes zu einem W irtschaftszweig mit der 
gemeldeten Zuordnung nicht übereinstimmt. Die Geheim- 
haltung der statistischen Einzelangaben ist aber seit jeher 
das Fundament der amtlichen Statistik (§16 Bundesstatistik- 
gesetz). Die statistische Geheimhaltungspflicht wird als Ge- 
genstück zur Auskunftspflicht und damit für die Erhaltung 
der Auskunftsbereitschaft und der Gewinnung zuverlässiger 
Angaben als notwendig angesehen; Ausnahmen bedürfen 
einer gesetzlichen Regelung und sind nur unter bestimmten 
Bedingungen zulässig. Ich werde die Auswertung der Er- 
probung kritisch begleiten und darauf achten, ob eine solche 
Ausnahmesituation tatsächlich gegeben ist. 

Die Bundesanstalt für Arbeit hat zum 3 1 . Oktober 2003 ei- 
nen Schlussbericht über die durch die Erprobung gewonne- 
nen Erkenntnisse mit konkreten Empfehlungen für die Ein- 
führung einer bundeseinheitlic hen Wirtschaftsnummer 
vorzulegen. Auf der Grundlage dieses Berichts und der in 
Bayern gemachten Erfahrungen werde ich mich dann bei 
der Gesetzgebungsarbeit für die datenschutzrechtlichen Be- 
lange einsetzen. 
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10.2 Finanzplatz Deutschland - „Förderung“ 
durch Überwachung? 

Die Bundesregierung hat sich in der ver gangenen Legis- 
laturperiode das Ziel gesetzt, den Finanzplatz Deutschland 
zu fördern. Dabei sollte insbesondere das V ertrauen der in- 
und ausländischen T eilnehmer an Finanztransaktionen in 
Deutschland gestärkt werden. Es spielte aber auch - nicht 
zuletzt nach dem 1 1. September 2001 — die Schaf fung von 
Regelungen zur besseren Bekämpfung krimineller Machen- 
schaften im Finanzsektor eine nicht zu übersehende Rolle. 

Hauptsächlich die Vorschriften, die eine leichtere Kontrolle 
von Geldflüssen und eine Überprüfung von Konten ermög- 
lichen sollten, stießen auf vielfältigen W iderstand. Dabei 
wurde insbesondere die daraus resultierende deutliche Be- 
einträchtigung von Bürgerrechten kritisiert. 

ln diesem Rahmen stellte das BMF Überlegungen an, eine so 
genannte Konten-Evidenzzentrale beim Bundesaufsichtsamt 
für das Kreditwesen (inzwischen Bundesanstalt für Finanz- 
dienstleistungsaufsicht, im folgenden Bundesanstalt ge- 
nannt) einzurichten. Dadurch so Ute ein umfassendes Nach- 
weisregister für alle Giro-, Spar- und Depotkonten, also für 
alle in Deutschland geführten Bankkonten, geschaf fen wer- 
den. Nach kurzer, aber heftiger Diskussion setzte sich je- 
doch unter meiner entscheidenden Mithilfe die Erkenntnis 
durch, dass ein solches bundesweites Register mit einer pau- 
schalen Erfassung von allen, also auch von unbescholtenen 
Konteninhabern, nicht praktikabel ist, um Konten terroristi- 
scher Organisationen und Einzeltäter aufzudecken. Um der 
Geldwäsche, dem illegalen Schattenbankwesen und dem 
unerlaubten Betreiben von Bank- und Finanzdienstleis- 
tungsgeschäften auf die Spur zu kommen, bedarf es nicht ei- 
nes bundesweiten Registers über alle Konteninhaber, son- 
dern eines effektiveren Systems, wie die Bundesanstalt die 
erforderlichen Informationen erhalten kann, ohne eine V iel- 
zahl von Auskunftsersuchen versenden zu müssen. Um 
diesen Zweck zu erreichen, müssen aber weder neue Befug- 
nisse geschaffen noch weitere Eingriffe in das informatio- 
nelle Selbstbestimmungsrecht des Einzelnen vorgenommen 
werden. 

Nachdem die Idee, eine Konten-Evidenzzentrale einzurich- 
ten, nicht mehr weiterverfolgt wurde, ist durch das V ierte 
Finanzmarktforderungsgesetz vom 21. Juni 2002 (BGBl. 1 
S. 2010) eine Rechtsgrundlage für einen automatisierten 
Abruf von Kontoinfonnationen in § 24c des Gesetzes über 
das Kreditwesen (KWG) geschaffen worden. Dadurch wer- 
den alle Kreditinstitute verp flichtet, ab 1 . April 2003 eine 
besondere Datei zu führen, au s der die Bundesanstalt in ei- 
nem von ihr bestimmten V erfahren die Daten automatisiert 
abrufen kann. Dabei handelt es sich um Daten, die nicht neu 
erhoben werden müssen, sondern bei der kontoführenden 
Bank ohnehin vorhanden sind. Di ese Daten sind allerdings 
bislang nicht in einer Datei zusammengefasst. Im Einzelnen 
geht es um die Nummer eines Kontos oder eines Depots so- 
wie den T ag der Errichtung und den T ag der Auflösung. 
Darüber hinaus werden der Name (bei natürlichen Personen 
auch der T ag der Geburt) des Inhabers und eines V erfü- 
gungsberechtigten sowie der Name und die Anschrift eines 
abweichend wirtschaftlich Berechtigten erfasst. Diese Daten 
sind nach Ablauf von drei Jahren nach der Auflösung des 
Kontos oder Depots zu löschen. Jedes Kreditinstitut hat zu 
gewährleisten, dass die Bunde sanstalt jederzeit Daten aus 


dieser Datei automatisiert abrufen kann. Besonders zu beto- 
nen ist aus datenschutzrechtli eher Sicht, dass die Kredit- 
institute durch technische und organisatorische Maßnahmen 
sicherstellen müssen, dass ihnen noch nicht einmal die T at- 
sache eines Abrufes, geschweige denn die dazu verwende- 
ten Daten zur Kenntnis gelange n. Dieses Verfahren ermög- 
licht der Bundesanstalt, auf einen Blick festzustellen, mit 
welchen Instituten eine bestimmte Person oder ein bestimm- 
tes Unternehmen Kontobezi ehungen unterhält. Deutlich 
hervorzuheben ist, dass durch diesen automatisierten Abruf 
keine Angaben über Kontostand und Kontenbewegungen 
übermittelt werden. Vielmehr muss sich die Bundesanstalt 
aufgrund der durch diesen Abruf erhaltenen Informationen 
gezielt bei dem Institut, bei dem das Konto der betreffenden 
Person geführt wird, nach den einzelnen Umsätzen erkundi- 
gen. 

Die 63. Konferenz der Datenschutzbeauftragten des Bundes 
und der Länder hat im Hinblick auf diese Regelung eine 
Entschließung gefasst, in der gefordert wird, dass im Rah- 
men der praktischen Umsetz ung dieser Eingriff zumindest 
durch eine aussagekräftige Information gegenüber dem 
Kunden transparent gemacht wird (s. Anlage 22). Dies 
sollte durch eine V erpflichtung der Geldinstitute zur gene- 
rellen Information der Kunden erfolgen, die die Kenntnis- 
nahme schriftlich zu bestätigen haben. 

Eine weitere beachtenswerte Regelung betrifft das so ge- 
nannte Kontoscreening. Danach haben die Geldinstitute be- 
sondere organisatorische Pflichten bei der Bekämpfung und 
Verhinderung der Geldwäsche. Nach dem neu eingefügten 
§ 25a Abs. 1 Nr. 4 KWG sind deshalb angemessene Siche- 
rungssysteme zu schaf fen, die die Analyse und Kontrolle 
von risikoreichen Konten ode r Finanztransaktionen unter 
dem Gesichtspunkt der Geldwäsche gewährleisten können. 
Diese Sicherungssysteme sollen weitgehend automatisiert 
durch IT-Lösungen realisiert werden, um die Analyse der 
enormen Anzahl von T ransaktionen in angemessener Zeit 
durchführen zu können. Durch meine Empfehlungen wurde 
die Formulierung dieser Regelung noch während der Arbei- 
ten am Gesetzentwurf präzisiert. Die doch erheblich in die 
Privatsphäre des Betrof fenen eingreifende V orschrift ist 
nunmehr so gefasst, dass die Kontrolle und Analyse auf den 
oben beschriebenen Zweck beschränkt ist. 

Die beschlossenen Regelungen sind damit im Hinblick auf 
die möglichen Auswirkungen einer kriminellen Nutzung 
des Finanzsektors aus meiner Sicht akzeptabel. Die Umset- 
zung der Regelungen in die Praxis werde ich aufmerksam 
begleiten. 

10.3 Korruptionsregister - wer kommt rein? 

Bereits in meinen letzten Tätigkeitsberichten (18. TB 
Nr. 8.12, 17. TB Nr. 8.15) habe ich über den Beschluss der 
Bundesregierung berichtet, Maßnahmen gegen unzuverläs- 
sige Unternehmer einzuleiten. In der letzten Legislatur- 
periode hatten die Koaliti onsfraktionen einen Gesetz- 
entwurf vorgelegt, der die Einrichtung und Nutzung eines 
Registers über unzuverlässige Unternehmen regeln sollte. 
Der Entwurf enthielt Regelungen, die den öffentlichen Auf- 
traggebern ermöglichen sollten, unzuverlässige Unterneh- 
men zu erkennen, um sie dann möglicherweise von der V er- 
gäbe öffentlicher Aufträge ausschließen zu können, ln dem 
Gesetzentwurf blieb der konkrete Zweck der Registerabfrage 
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unklar, der Kreis der Abfrageberechtigten wurde nicht deut- 
lich genug geregelt und die Konkretisierung des Begrif fs 
„unzuverlässig“ sollte außerdem einer gesonderten V erord- 
nung überlassen werden. Auf diese fehlende Normenklar- 
heit hatte ich die zuständigen Ausschüsse des Deutschen 
Bundestages im Laufe der Gesetzesberatungen hingewiesen 
und im Hinblick auf den erheblichen Eingriff in die Bürger- 
rechte der betroffenen Unternehmer auf Abhilfe gedrungen. 

Erst der vom Bundesrat angerufene V ermittlungsausschuss 
beschloss, sowohl den Zweck des Registers und den Kreis 
der zugriffsberechtigten Stellen zu konkretisieren als auch 
die Definition des Begrif fs „unzuverlässig“ in das Gesetz 
aufzunehmen. Danach sollte ein Unternehmen „unzuverläs- 
sig“ sein, wenn bei ihm hinreichende Anhaltspunkte für Be- 
stechung, Geldwäsche, Betrug, Untreue, illegale Beschäfti- 
gung, Beauftragung mit Schwarzarbeit oder andere im 
Gesetz genannten Straftatbestände vorlägen. Auf das Regis- 
ter sollten nur öffentliche Auftraggeber und die betroffenen 
Unternehmen in unmittelbarem Zusammenhang mit der 
Vergabe von öffentlichen Aufträgen Zugriff bekommen. 

Dieser Beschlussempfehlung des V ermittlungsausschusses 
ist der Deutsche Bundestag zwar gefolgt, jedoch hat der 
Bundesrat dem Gesetz seine Zustimmung ohne weitere Be- 
gründung erneut verweigert. 

Da sich das Problem der V ergäbe von öffentlichen Aufträ- 
gen an Unternehmen, die gegen die einschlägigen gesetzli- 
chen Bestimmungen verstoßen, nicht erledigt hat, erwarte 
ich in dieser Legislaturperiode eine neue Gesetzesinitiative 
der Bundesregierung. 

Den Fortgang dieser Angelegenheit werde ich weiter beglei- 
ten. 

10.4 Nachwehen des DDR-Rechts = 

Einschränkung von Bürgerrechten? 

Die Eingabe eines Petenten ha t die interessante Frage nach 
Art und Umfang eines Auskunftsersuchens gegen die Nach- 
folgeorganisation der Staa tlichen Versicherung der DDR 
aufgeworfen. 

Der Petent hatte sich zuvor an die Staatliche V ersicherung 
der DDR in Abwicklung (SinA) gewandt und um Auskunft 
über eventuell dort zu seiner Person gespeicherte personen- 
bezogene Daten gebeten. Er ging dabei davon aus, dass ent- 
sprechende Daten aus einem Versicherungsfall aus der ehe- 
maligen DDR dort vorhegen müssten. 

Bei der SinA handelt es sich um eine Anstalt des öf fentli- 
chen Rechts, die der Fachaufsicht des BMF untersteht und 
damit meiner datenschutzrechtlichen Kontrolle unterliegt. 

Überraschenderweise ist die Bitte um Auskunft von der 
SinA unter Hinweis auf die Gesetzeslage in der ehemaligen 
DDR - die wohl eine Auskunftsverpflichtung gegenüber 
dem Betroffenen nicht vorsah - abgelehnt worden. Auf meine 
Bitte um Stellungnahme hat die SinA erwidert, dass der Pe- 
tent zwar Akteneinsicht verl angt, man ihm aber mitgeteilt 
hätte, dass die V orschriften des BDSG über das Auskunfts- 
recht nicht auf den Aktenbe stand der SinA anzuwenden 
seien. Darüber hinaus hätte die SinA keine personenbezoge- 
nen Daten über den Petenten, vielmehr seien nur Zahlungs- 
daten bei der Allianz V ersicherung - diese hat die gesamte 
Abwicklung des V ersicherungsgeschäftes übernommen - 
verfügbar. Auf diese Daten habe die SinA keinen direkten 


Zugriff und könne deshalb keine Auskunft erteilen. Gleich- 
wohl hat die SinA sowohl dem Petenten als auch mir gegen- 
über ausführlich aus den V ersicherungsunterlagen des Pe- 
tenten berichtet, sodass Zweifel an dem tatsächlichen 
Umfang der bei der SinA exis tierenden personenbezogenen 
Daten des Petenten bestanden. 

Trotz meines Hinweises auf die Rechtslage, insbesondere 
auf die uneingeschränkte Geltung der Regelung zum Aus- 
kunftsrecht in § 19 BDSG, beharrte die SinA auf die allei- 
nige Anwendung der Gesetze der ehemaligen DDR. 

Daraufhin habe ich die fortgesetzte Auskunftsverweigerung 
der SinA gegenüber dem BMF förmlich beanstandet. 

Die infolge der Beanstandung erteilte Stellungnahme des 
BMF war zunächst leider nicht hilfreich, da lediglich auf ein 
Schreiben der SinA mit deren schon bekannter Argumenta- 
tion hingewiesen wurde. Eine rechtliche Würdigung des be- 
anstandeten Verhaltens fehlte vollständig. Nach Eingang ei- 
ner ergänzenden Stellungnahme des BMF ist immer noch 
nicht endgültig geklärt, in welchem Umfang die SinA Daten 
besitzt. Es ist aber davon auszugehen, dass sich aufgrund 
der erläuterten Vertragslage zwischen dem Bund als Rechts- 
nachfolger des DDR-Staates und der Allianz V ersicherung 
tatsächlich die gesamten Versicherungsakten bei der Allianz 
befinden und die SinA nur aus dem mit dem Petenten ge- 
führten Schriftwechsel und au s einer Auskunft der Allianz 
ihre Infonnationen über den Versicherungsfall hat. 

ln dem Teil des Sachverhaltes, der sich mit der grundlegen- 
den Frage der Fortgeltung von DDR-Recht befasst, hat das 
BMF die Rechtslage hinsichtlich des Geltungsbereich des 
DDR-Rechts in diesen Fällen klargestellt. Danach sind tat- 
sächlich in den Fällen, in denen der V ersicherungsschaden 
noch zu DDR-Zeiten eingetreten ist, für die rechtliche Be- 
wertung der materiellen Anspruchsgrundlage die damals 
geltenden Regelungen heranzuziehen. Dies gilt selbstver- 
ständlich nicht für die Regelungen des BDSG und hier ins- 
besondere für das Auskunftsrecht des Betroffenen. 

Als Ergebnis ist hier festzuhalten, dass die SinA sehr wohl 
im Rahmen des § 19 BDSG eine Auskunftsverpflichtung 
gegenüber dem Petenten trifft. Ich werde mich weiterhin da- 
für einsetzen, dass der Petent die ihm zustehenden Rechte 
wahrnehmen kann. 

10.5 SCHUFA 

10.5.1 SCHUFA errichtet Warndatei im 
Wohnungswesen 

Ein neues Projekt der SCHUFA ist der SCHUFA-Anschluss 
von Wohnungsuntemehmen. Hierdurch soll die Bonität des 
Wohnungsinteressenten durch den Vermieter überprüft wer- 
den können. Die SCHUF A selbst wirbt mit dem Slogan 
„Mit uns finden Sie solvente Mieter“. Der Service für die 
gewerbliche Wohnungswirtschaft umfasst laut SCHUFA die 
folgenden Leistungen: 

- Auskunftserteilung bei Vertragsabschluss, 

- Kurzabfrage vor Beitreibungsmaßnahmen, 

- Nachmelden mit laufenden Bonitätsinformationen über 
ihre Kunden, 

- Adressermittlung bei unbekannt verzogenen Schuldnern, 

- individuelle Bestandsauswertungen. 
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Bereits bei Abschluss des Miet Vertrages sollen V ennieter 
der SCHUFA die Mieterdaten mit der Konsequenz melden, 
dass in Zukunft alle Mieter, deren Vermieter Vertragspartner 
der SCHUFA sind, in einer Datei gespeichert sind. 

Der Vermieter soll ferner nicht vertragsgemäßes V erhalten 
des Mieters an die SCHUFA melden. Ein datenschutzrecht- 
lich fragwürdiges V orhaben, da diese Einmeldungen auf 
subjektiven Feststellungen des Vermieters beruhen und den 
Rechtsstandpunkt des Mieters nicht unbedingt berücksichti- 
gen. Zwar sollen — laut SCHUFA - Fälle, in denen der Mie- 
ter die Höhe der geltend ge machten Nebenkosten bestreitet 
oder in denen der Mieter eine Mietminderung wegen eines 
Mangels der Mietsache geltend macht, nicht zu einer Ein- 
meldung führen, doch bedarf es für eine Einmeldung als Ne- 
gativmerkmal keines Rechtstitels. Eine Überprüfung des 
Umstandes, ob eine Vermieterforderung unbestritten ist oder 
nicht, stellt sich somit als schwierig dar. 

Von der SCHUFA geplant war darüber hinaus, dass anfra- 
gende Vermieter eine Zusammenstellung aller eingemelde- 
ten monatlichen Raten und laufenden V erpflichtungen des 
jeweiligen Mietinteressenten erhalten sollten. Die Zusam- 
menstellung sollte auf den Einmeldungen aller anderen 
SCHUFA- Vertragspartner zu der betreffenden Person basie- 
ren. Der V ennieter bekäme somit auch solche Auskünfte 
über den Mieter bzw. Mietinteressenten, die mit dem Miet- 
verhältnis im engeren Sinne ni chts zu tun hätten, vielmehr 
aus anderen geschäftlichen Betätigungen des Betrof fenen 
stammen. Aufgrund des W iderstandes der Datenschutzauf- 
sichtsbehörden hat sich die SCHUF A bereit erklärt, das 
Merkmal „Summe der monatlichen Belastung“ „bis auf 
weiteres zurückzustellen und zumindest derzeit nicht umset- 
zen zu wollen“, leider nur eine Aussage, die zukünftiges 
Verhalten völlig offen lässt. 

Bei der SCHUFA anfragende Vermieter erhalten nicht nur 
Auskünfte über nichtvertragsgemäßes V erhalten der Betrof- 
fenen bezogen auf andere/frühere Mietverhältnisse. Vielmehr 
bekommen sie im Rahmen des so genannten B-V erfahrens 
der SCHUFA Auskünfte über jegliches nichtvertragsgemäßes 
Verhalten der Mietinteressenten. 

Ein datenschutzrechtlich bede nkliches Verfahren. Ein Be- 
troffener muss so damit rechnen, als Mieter abgelehnt zu 
werden, weil er z. B. seine Handyrechnung nicht rechtzeitig 
bezahlt hat. Bei den heute ohnehin schwierigen V erhältnis- 
sen auf dem Wohnungsmarkt und dem hohen Wert des Gu- 
tes „Wohnung“ ein inakzeptables Ergebnis. 

Die Berechtigung einer derartigen Mieterwarndatei halte ich 
bereits deswegen für zweifelhaft, weil das Kreditrisiko bei 
Vermietern anders zu bewerten ist als das anderer Kreditge- 
ber. Vermieter haben ein Pfandrecht gegenüber den Mietern, 
und es steht ihnen regelmäßi g eine Kaution zur Verfügung. 
Lässt man jedoch eine W amdatei der SCHUF A für das 
Wohnungswesen zu, so ist es meines Erachtens ausreichend, 
wenn das Verfahren im Rahmen einer „geschlossenen Be- 
nutzergruppe“ betrieben wird. Das heißt, Angaben über Be- 
troffene, die von Vermietern gemeldet werden, werden auch 
nur an andere Vermieter und nicht auch an alle anderen Ver- 
tragspartner der SCHUFA übermittelt. Umgekehrt bekom- 
men anfragende Vermieter auch nur Informationen über ver- 
tragswidriges Verhalten des jeweils Betrof fenen aus 
Mietverhältnissen und nicht auch aus anderen V erbindlich- 
keiten. 


10.5.2 Wann liegt eine automatisierte 
Einzelentscheidung im Sinne 
des § 6a BDSG vor? 

Im Rahmen von Gesprächen zwischen den Datenschutz- 
aufsichtsbehörden, der SCHUFA und dem Zentralen Kredit- 
ausschuss zum Thema Scoring-V erfahren der SCHUFA ist 
folgende Problematik zu T age getreten, die den Aufsichts- 
behörden bis dato nicht bekannt war: 

Bei der Entscheidung über eine Kreditgewährung ist es übli- 
che Praxis der Kreditinstitute, für die Prüfung der Kreditwür- 
digkeit einer Person deren Score-W ert heranzuziehen, den 
wiederum das jeweilige Kreditinstitut bei der SCHUF A ab- 
fragt. Die SCHUFA ermittelt diesen Wert aus den ihr vorlie- 
genden Daten mittels eines automatisierten Verfahrens. Nach 
Aussagen der Vertreter des Zentralen Kreditausschusses war 
es bei einigen Banken üblich, den Score-Wert nicht mehr se- 
parat — und damit für den Bearbeiter des jeweiligen Kredit- 
antrags erkennbar - auszuweisen. Vielmehr wurde der von der 
SCHUFA übermittelte Score-Wert direkt automatisiert in an- 
dere Parameter des Kreditinstitutes eingearbeitet. Der Kredit- 
sachbearbeiter wurde - so der Zentrale Kreditausschuss - nur 
noch mit dem Ergebnis der Computeranalyse „Kreditgewäh- 
rung ja/nein“ konfrontiert, ohne die einzelnen, zu dem Ergeb- 
nis führenden Berechnungen nachvollziehen zu können. 

Diese Praxis stellt m. E. eine unzulässige automatisierte Ein- 
zelentscheidung nach dem neuen § 6a BDSG dar . Danach 
„dürfen Entscheidungen, die für den Betroffenen eine rechtli- 
che Folge nach sich ziehen oder ihn erheblich beeinträchti- 
gen, nicht ausschließlich auf eine automatisierte Erarbeitung 
personenbezogener Daten gestützt werden, die der Bewer- 
tung einzelner Persönlichkeitsmerkmale dienen“. Sowohl die 
SCHUFA als auch der Zentrale Kreditausschuss stellten sich 
auf den Standpunkt, dass die V oraussetzungen des § 6a 
BDSG nicht vorlägen und beriefen sich auf die Begründung 
des Regierungsentwurfs zu § 6a BDSG, in der die in der T at 
irritierende Aussage getroffen worden war, dass das Scoring- 
Verfahren nur dann unter die Regelung des § 6a BDSG falle, 
wenn sowohl das Scoring-V erfahren als auch die anschlie- 
ßende Entscheidung in einer Hand lägen. SCHUFA und Zen- 
traler Kreditausschuss ar gumentierten nun damit, dass der 
Score-Wert von der SCHUF A und die letztendliche Kredit- 
entscheidung von einem Sachbearbeiter des jeweiligen Kre- 
ditinstitutes getroffen würden und somit die Entscheidung 
gerade nicht in einer Hand läge. Bei dieser Ar gumentation 
wurde allerdings außer Acht gelassen, dass das Erfahren des 
Kreditinstitutes so konstruiert war , dass der Score-W ert in 
seiner Aussage nicht mehr überprüfbar war , da er automa- 
tisch mit anderen W erten verarbeitet wurde. Eine Entschei- 
dungsmöglichkeit über die Anerkennung des Score-W ertes 
als positiv oder negativ war nicht gegeben; m. E. ein gravie- 
render Fall einer automatisierten Einzelentscheidung. 

Ich habe daraufhin den für das BDSG federführend zustän- 
digen Innenausschuss des Deutschen Bundestages auf die 
irritierende Begründung zu § 6a BDSG aufmerksam ge- 
macht. Der Deutsche Bundestag hat daraufhin in seinen Be- 
ratungen zu der Novellierung des BDSG die folgende Klar- 
stellung zu § 6a BDSG vorgenommen: 

„Entgegen der Begründung des Regierungsentwurfs kommt 
es bei § 6a für die Beurteilung, ob eine Entscheidung aus- 
schließlich auf eine automatisierte V erarbeitung personen- 
bezogener Daten gestützt wi rd, nicht darauf an, ob das 
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Scoring-Verfahren und die abschließende Entscheidung in 
einer Hand hegen. Der Schutzgedanke des § 6a geht viel- 
mehr davon aus, dass [ ] eine Bewertung von Persönlich- 

keitsmerkmalen, wie z. B. der Kreditwürdigkeit, in jedem 
Fall eine Beurteilung durch einen Menschen erfordert, die 
das Ergebnis einer standardisierten Computeranalyse nicht 
zur einzigen Entscheidungsgrundlage macht, sondern Raum 
lässt für eine Überprüfung und Relativierung dieses Er geb- 
nisses, insbesondere auf Grund eigener zusätzlicher Er- 
kenntnisse oder besonderer Um stände des Einzelfalles“ 
(vgl. Beschlussempfehlung und Bericht des Innenausschus- 
ses zu dem Gesetzentwurf der Bundesregierung - Bundes- 
tagsdrucksache 14/4329, 14/4458 - Entwurf eines Gesetzes 
zur Änderung des Bundesdaten schutzgesetzes und anderer 
Gesetze, Bundestagsdrucksache 14/5793, Begründung zu 
XVI (§ 34 Abs. 4 BDSG), S. 65 - so beschlossen durch den 
Deutschen Bundestag in seiner Sitzung am 6. April 2001, 
Plenarprotokoll 14/165, Tagesordnungspunkt 19). 

Damit dürfte der Argumentation der SCHUFA und des Zen- 
tralen Kreditausschusses die Grundlage entzogen sein. 

10.5.3 SCHUFA als Evidenzzentrale 
für das Bundeskriminalamt 

Zwischen dem Bundeskriminalamt und der KSV -Kredit- 
schutz Vereinigung GmbH, einem Unternehmen der 
SCHUFA-Organisation, wurde im Dezember 1999 ein V er- 
trag geschlossen, nach dem das Bundeskriminalamt Daten 
der Dokumentensachfahndung an die KSV übermittelt. Ge- 
mäß dem Vertrag besteht der der KSV übermittelte Doku- 
menten-Sachfahndungsbestand aus Datensätzen, die Anga- 
ben über die Dokumentennummer, die Dokumentenart und 
den ausstellenden Staat des in der Sachfahndung ausge- 
schriebenen Dokumentes enthalten. Sinn und Zweck der 
Vereinbarung ist es, hohe Schäden für die Wirtschaft zu ver- 
hindern bzw. zu minimieren, die durch die Nutzung gestoh- 
lener oder verloren gegangener Ausweisdokumente entste- 
hen. Als dieses neue Betä tigungsfeld der SCHUF A den 
Datenschutzaufsichtsbehörden bekannt wurde, stand man 
dieser vertraglichen V ereinbamng zunächst skeptisch ge- 
genüber. Befürchtungen wurden laut, dass Daten über verlo- 
ren gegangene oder gestohlene Ausweise in den übrigen 
Datenbestand der SCHUF A einfließen könnten. Der BfD 
wurde hier als zuständige Datenschutzaufsichtsbehörde für 
das Bundeskriminalamt um Prüfung gebeten, ob eine solche 
Vereinbarung rechtlich zulässig sei. 

Nach § 10 Abs. 3 i. V . m. Abs. 2 BKA-Gesetz ist es dem 
Bundeskriminalamt in bestimmten Fällen erlaubt, personen- 
bezogene Daten auch an, wie hier , nicht öffentliche Stellen 
zu übermitteln. Auch darüber hinaus sehe ich keinen V er- 
stoß gegen geltendes Recht. Glei chwohl gibt es eine daten- 
schutzrechtliche Schwachstelle: Nach dem Pass- und dem 
Personalausweisgesetz dürfen die Identifikationspapiere 
nicht so verwendet werden, da ss mit ihrer Hilfe ein Abruf 
personenbezogener Daten aus Dateien oder eine V erknüp- 
füng von Dateien möglich ist. Bei vertragsgerechter Hand- 
habung können die der SCHUF A vom Bundeskriminalamt 
übermittelten Daten nicht auf diese rechtlich unzulässige 
Weise genutzt werden, da die übermittelten Daten grund- 
sätzlich von der SCHUF A nicht personalisierbar sind. Es 
werden lediglich die Nummern der Dokumente übermittelt, 
die seitens der SCHUF A nicht anderen Daten zugeordnet 
werden können. Dies könnte sich allerdings dann ändern, 


wenn ein Kreditinstitut im Rahmen der Überprüfung eines 
Neukunden nicht nur dessen Ausweisnummer an die 
SCHUFA übermittelte zwecks Abgleich mit der Dokumen- 
ten-Sachfahndungsliste des Bundeskriminalamtes, sondern 
diese Abfrage in einem Arbeitsgang mit der Abfrage über 
die Kreditwürdigkeit des Neukunden verbände. In diesem 
Falle würde das Kreditinstitut an die SCHUFA nicht separat 
die Ausweisnummer, sondern auch die übrigen Stammdaten 
des Neukunden übermitteln. Die Ausweisnummer wäre 
dann personalisierbar und es läge ein V erstoß gegen das 
Pass- und das Personalausweisgesetz vor . Eine solche Vor- 
gehensweise der Kreditinstitute wäre zwar nicht vertragsge- 
mäß, aber in der Praxis aus Überlegungen der Arbeitser- 
leichterung auch nicht auszuschließen. 

Ich habe die Aufsichtsbehörden auf diese Gefahr hingewie- 
sen, die die Praxis der Kreditinstitute in diesen Fällen beob- 
achten. 

10.5.4 Eintragung bestrittener Forderungen 
von Telekommunikationsunternehmen 
in das SCHUFA-Register 

Aufgrund mehrerer Bür gereingaben habe ich festgestellt, 
dass es im Berichtszeitraum immer wieder vorkam, dass Te- 
lekommunikationsuntemehmen eine Eintragung bei der 
SCHUFA wegen Nichtzahlung einer Rechnung durch ihre 
Kunden veranlasst hatten, obwohl die zugrunde hegende 
Forderung von Kundenseite bestritten wurde. 

Zwar sind die Telekommunikationsunternehmen gegenüber 
der SCHUFA vertraglich gebunden, dieser auch Daten auf- 
grund nichtvertragsgemäßen Verhaltens (z. B. ausstehender 
Forderungsbetrag nach Kündigung, Kartenmissbrauch) ih- 
rer Kunden zu übermitteln. Diese Meldungen dürfen nach 
dem BDSG aber nur erfolgen, soweit dies nach Abwägung 
aller betroffenen Interessen zulässig ist. 

Da es sich bei dem hier erörterten Sachverhalt - die geltend 
gemachte Forderung wird von Kundenseite bestritten - 
nicht um den Fall der generellen Zahlungsunfähigkeit bzw . 
Zahlungsunwilligkeit handelt, hegt eine Meldung des Kun- 
den an die SCHUF A weder im berechtigten Interesse des 
Telekommunikationsunternehmens noch in einem anzuer- 
kennenden Interesse der SCHUF A. Bei der hier in jedem 
Einzelfall erforderlichen Interessenabwägung ist das schutz- 
würdige Interesse des Kunden an einer Nichteintragung in 
einem solchen Fall höher zu bewerten als das Interesse der 
Wirtschaft an einem Eintrag. Daher habe ich die betroffenen 
Telekommunikationsuntemehmen aufgefordert, entspre- 
chend zu verfahren. 

10.5.5 Speicherung der SCHUFA-Auskunft beim 
Telekommunikationsunternehmen 

Wegen der hohen wirtschaftlich en Vorleistungen der T ele- 
kommunikationsunternehmen - Subventionierung des Han- 
dys sowie sofortige Freischaltung eines Anschlusses für den 
Kunden - ist es im Bereich des Mobilfunks marktüblich, die 
Bonität eines Kunden vor Absc hluss eines Vertrages über 
Telekommunikationsdienstleistungen zu überprüfen. Es be- 
steht zwar die Möglichkeit, das wirtschaftliche Risiko der 
Unternehmen z. B. durch die Hinterlegung einer Sicher- 
heitsleistung des Kunden aufzufangen. Hiervon wird in der 
Praxis aber kein Gebrauch gemacht. Entsprechende Aus- 
künfte werden mit schriftlich er Einwilligung des Betrof fe- 



Deutscher Bundestag - 15. Wahlperiode 


-71 - 


Drucksache 15/888 


nen bei der SCHUFA oder anderen Wirtschaftsauskunfteien 
eingeholt. Im Zusammenhang mit dieser Einwilligungser- 
klärung muss der Betroffene darüber unterrichtet werden, zu 
welchem Zweck die Speicherung und Übermittlung seiner 
persönlichen Daten vor gesehen ist und welche konkreten 
Daten im Rahmen des Bonitätsprüfungsverfahrens an wen 
übermittelt werden. Zudem ist er auf sein Auskunftsrecht 
über die über ihn gespeicherten Daten hinzuweisen. 

Fraglich ist, wie lange die von der SCHUF A bzw. anderen 
Wirtschaftsauskunfteien erteilten Auskünfte in den Syste- 
men der T elekommunikationsuntemehmen auch nach Zu- 
standekommen des Vertrages gespeichert bleiben dürfen. 

Unter Berücksichtigung des allgemeinen Grundsatzes, dass 
die Datenerhebung und -Speicherung nur in dem erforderli- 
chen Umfang erfolgen darf, ist die dauerhafte Speicherung 
der Auskunft datenschutzrec htlich unzulässig. Hinzu 
kommt, dass die Auskunft auch bereits nach kurzer Zeit 
überholt und wertlos ist, weil sie sich natur gemäß nur auf 
den Zeitpunkt der Anfrage bezi eht. Ich habe daher im Be- 
richtszeitraum Telekommunikationsuntemehmen gebeten, 
die Auskünfte der SCHUF A bzw. anderer Auskunfteien 
nach einer angemessenen Speicherfrist von längstens einem 
Monat zu löschen. 

10.6 Die Kundenkarte - Rabattgewährung oder 
Datenfang? 

Laut einer Emnid-Umfrage soll die so genannte Kunden- 
karte für viele Deutsche n ach der Krankenversicherungs- 
und der ec-Karte die wichtigste Karte in der Brieftasche ge- 
worden sein. Kundenkarten, auch Rabattkarten genannt, 
werden mittlerweile von verschiedenen Anbietern herausge- 
geben. So stehen z. B. hinter der Payback-Karte, dem größ- 
ten Kundenbindungssystem in Deutschland, mehrere große 
Konzerne, ln den meisten Fällen gewähren die Kundenkar- 
ten den Konsumenten Rabatte von 1 bis 5 %; zusätzlich be- 
kommen Karteninhaber z. B. Coupons für noch höhere Ra- 
batte bei Sonderaktionen, Prämien, Eintrittskarten für 
Sportveranstaltungen oder Konzerte und vieles mehr . Die 
Verbraucher sollen so an das Unternehmen oder die hinter 
der Kundenkarte stehenden Konzerne gebunden werden und 
ihre Käufe auf die entsprechenden Geschäfte konzentrieren. 
Doch geht das Interesse der Kundenkartenanbieter in der 
Regel weiter. Als Gegenleistung für die Rabattgewährung 
wollen die Anbieter auch etwas vom Kunden erfahren. 
Angaben zu Interessen, Konsum- und Kaufgewohnheiten, 
soziale und familiäre Verhältnisse werden z. T. auf den An- 
meldeformularen abgefragt oder aber subtil über das tat- 
sächliche Kaufverhalten in Erfahrung gebracht. Die Daten 
ermöglichen dem Anbieter, eine Vorstellung von den Wün- 
schen und Verhaltensweisen der eigenen Kunden zu bekom- 
men. Dies kann sich auf die Produktgestaltung, die Präsen- 
tation und vor allem auf die Art der W erbung auswirken. Je 
präziser die Angaben sind, desto höher ist das Risiko, dass 
bei der W erbung manipulativ vor gegangen werden kann. 
Eine große Gefahr besteht auch darin, dass die z. T. sensib- 
len Konsumdaten auch für Zw ecke der Profilbildung ge- 
nutzt oder auch missbraucht werden, z. B. durch Verkauf an 
andere Firmen. 

Trotz der datenschutzrechtlichen Gefahren sind Kundenbin- 
dungsprogramme nicht von vornherein zu verurteilen. Jeder 
Verbraucher ist Herr seiner Daten, er muss sich keine Kun- 


denkarte nehmen, wenn er davon nicht überzeugt ist. Aus 
Datenschutzsicht ist allerdings zu fordern, dass die Position 
des Verbrauchers durch T ransparenz und Information ge- 
stärkt wird. Jeder muss wissen, wozu welche Daten abge- 
fragt werden, welche Daten über ihn gespeichert werden 
und zu welchem Zweck und ob die Daten weiter gegeben 
werden. Jeder Inhaber einer Kundenkarte sollte wissen, wel- 
che Unternehmen hinter der Karte stehen und inwieweit 
sein Kaufverhalten zu einem Kundenprofil zusammenge- 
führt wird. Erst eine genaue Infonnation gibt ihm die Mög- 
lichkeit abzuwägen und frei zu entscheiden, ob er für die 
ihm gewährten Vorteile auch die einher gehenden Gefahren 
in Kauf nehmen will. 

In diesem Zusammenhang geht das so genannte „Permis- 
sion Marketing“ einen offenen, künden- und damit auch da- 
tenschutzfreundlichen Weg der Kundenbindung und des 
Marketing. Statt subtil die vermeintlichen Wünsche der Ver- 
braucher auszuforschen, setzt die Strategie des „Permission 
Marketing“ auf die Stärkung der eigenen Gestaltungsmög- 
lichkeiten der Verbraucher. Hierbei werden nur Infonnatio- 
nen, sprich W erbung, versandt, die vom Empfänger aus- 
drücklich erwünscht sind und die er auch jederzeit wieder 
abbestellen kann. Sein Kundenpr ofil legt der Konsument 
selbst fest und er kann es stets verändern, wenn er an an- 
deren Artikeln oder gar nicht mehr an einer Bewerbung in- 
teressiert ist. Interaktive Kommunikationstechnologien wie 
E-Mail, SMS, Online-Chats etc. machen dies möglich. 

Ein etwas anderer Weg der Kundenbindung, der sich sowohl 
für Verbraucher als auch für Unternehmen lohnen könnte. 

10.7 Schuldnerdaten im Internet 

Mit dem Gesetz zur Änderung der Insolvenzordnung und an- 
derer Gesetze (BGBl. 2001 I S2710) wurde durch Egänzung 
des § 9 der Insolvenzordnung (InsO) die Möglichkeit ge- 
schaffen, öffentliche Bekanntmachungen in Insolvenz- 
verfahren auch im Internet vorzunehmen. Hierdurch sollen 
Kosten eingespart werden. Inder Begründung hierzu wird er- 
läutert, in Verbraucherinsolvenzverfahren mit regelmäßig ge- 
ringen Massen hätten die V eröffentlichungskosten - insbe- 
sondere bei Bekanntmachungen in T ageszeitungen - dazu 
beigetragen, dass diese Wrfahren nicht eröffnet werden konn- 
ten und dem Schuldner der Weg zur Restschuldbefreiung da- 
durch versperrt blieb (Bundestagsdrucksache 14/5680 S. 24). 

Regelungen zum Schutz der Schuldner bei V eröffentlichung 
ihrer Daten im Internet sah der Gesetzentwurf nicht vor. Vor 
dem Hintergrund der daraufhin gefassten gemeinsamen Ent- 
schließung der Konferenz der Datenschutzbeauftragten des 
Bundes und der Länder vom 24 . April 2001 zur V eröffent- 
lichung von Insolvenzinfonnationen im Internet (s. Anla- 
ge 15 ) habe ich mich mit meinen Bedenken an den Rechts- 
ausschuss des Deutschen Bundestages gewandt: Dritte, etwa 
Auskunfteien oder W irtschaftsinfonnationsdienste könnten 
die veröffentlichten Daten unbegrenzt kopieren, speichern, 
auswerten und auch nach Abschluss des Insolvenzverfahrens 
beliebig lange im Internet zur Verfügung stellen. Dies führe 
zu einem Eingriff in das Persönlichkeitsrecht des Schuldners, 
der über die Beeinträchtigung hinausgehe, die dieser nach der 
jetzigen Gesetzeslage im Hinblick auf die begrenzten Aus- 
wertungsmöglichkeiten der Veröffentlichungen in Zeitungen 
oder Amtsblättern hinnehmen müsse. Insbesondere stehe dies 
auch im W iderspruch zu dem mit der Restschuldbefreiung 
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angestrebten Zweck, dem Schu ldner zu ermöglichen, nach 
Abschluss des Insolvenzverfahrens wieder unbelastet am Ge- 
schäftsverkehr teilzunehmen. 

Bei der vom Gesetzgeber verabschiedeten Regelung wurden 
- soweit möglich — Sicherungen zum Schutz des Persönlich- 
keitsrechts der in das Internet eingestellten Schuldner vorge- 
sehen. Aufgrund einer er gänzend in die Insolvenzordnung 
eingefügten Ermächtigung hat das BMJ in der \6rordnung zu 
öffentlichen Bekanntmachungen in Insolvenzverfahren im 
Internet (BGBl. 2002 1 S. 677)unter anderem festgelegt, dass 
die Veröffentlichung nur die personenbezogenen Daten ent- 
halten darf, die nach der Insolvenzordnung bekannt zu ma- 
chen sind. Weiterhin ist nach dieser Verordnung sicherzustel- 
len, dass die Daten während der Veröffentlichung unversehrt, 
vollständig und aktuell bleiben und spätestens nach Ablauf 
von zwei Wochen seit dem ersten T ag der Veröffentlichung 
nur noch abgerufen werden können, wenn die Abfrage den 
Sitz des Insolvenzgerichts und bestimmte weitere Daten des 
jeweiligen Falles nennt. Auch ist nach dem Stand der Tchnik 
dafür Sorge zu tragen, dass diese Daten nicht durch Dritte 
elektronisch kopiert werden können. Nicht zuletzt schreibt 
die Verordnung vor, dass die Veröffentlichung von Daten aus 
einem Insolvenzverfahren spätestens einen Monat nach der 
Aufhebung oder der Rechtskraf t der Einstellung des Insol- 
venzverfahrens gelöscht wird. 

Weiter nahm der Bundestag einen Entschließungsantrag an, in 
dem er die Bundesregierung bittet zu prüfen, wie verhindert 
werden kann, dass Daten, die nach § 9 InsO im Internet ver- 
öffentlicht wurden, nach Ablauf der gesetzlichen Löschungs- 
frist durch Dritte über das Inte met verbreitet werden, ln die 
Prüfung soll die Frage einbezo gen werden, ob insoweit eine 
eigenständige Bußgeldvorschrift geschaffen werden soll. Die 
Unterrichtung durch die Bundesregierung, an der ich beteiligt 
worden bin, ist am 12. Dezember 2002 erfolgt (Bundestags- 
drucksache 15/181). 

Wenn auch nicht von der gesetzlichen Möglichkeit abgese- 
hen wurde, Bekanntmachungen in Insolvenzverfahren im 
Internet zu veröffentlichen, so begrüße ich doch sehr , dass 
das federführende BMJ und der Deutsche Bundestag großes 
Verständnis für die damit verbundenen Eingriffe in das Per- 
sönlichkeitsrecht der jeweils betroffenen Schuldner gezeigt 
und sich nachdrücklich bemüht haben, diese auf das Erfor- 
derliche zu begrenzen. 

Zu meinem Bedauern wurde allerdings mein Vorschlag, ge- 
setzlich festzulegen, dass Dr itte Daten aus amtlichen Be- 
kanntmachungen im Rahmen von Insolvenz- und gleicharti- 
gen Verfahren in Papierform nicht über die Fristen der 
Verordnung zu § 9 InsO oder andere gleichartige Fristen hi- 
naus im Internet verbreiten dürfen, im Bericht der Bundes- 
regierung nicht aufgenommen. Die durch diesen V orschlag 
berührten wirtschaftlichen Interessen der entsprechenden 
Verlage, Auskunfteien und W irtschaftsinformationsdienste 
sollten jedenfalls nicht Anlass dafür sein, Überlegungen 
auch in dieser Richtung von vornherein auszuschließen. 
Nach Auskunft von Landesbeauftragten für den Daten- 
schutz wenden sich in letzter Zeit bereits jede W oche etwa 
ein bis zwei Petenten wegen der V eröffentlichung ihrer Da- 
ten aus Insolvenz- oder Zwangsversteigerungsverfahren im 
Internet an diese Stellen. Auch wenn es hierbei nicht jeweils 
um die Veröffentlichung dieser Daten über bestimmte Fris- 
ten hinaus geht, zeigt dies doch auf, wie drängend und sen- 


sibel das vorliegende Problem gesehen werden sollte. Ge- 
rade auch vor dem Hinter grund der erwähnten Eingaben 
sehe ich es als bedenklich an, den Zeitpunkt für weitere Re- 
gelungen zum Schutz der Betrof fenen, insbesondere für 
Bußgeldvorschriften, von vornherein erst an die vor gese- 
hene zweite Stufe der Novellierung des Bundesdatenschutz- 
gesetzes anzubinden, da nach meiner Einschätzung nicht ab- 
zuschätzen ist, in welchem Zeitrahmen die zweite Stufe 
abgewickelt werden kann. 

10.8 Warndateien im Wohnungswesen 

Es gibt immer stärkere Bestrebungen der W ohnungswirt- 
schaft, sich durch die Errichtung von regionalen W amda- 
teien vor Mietausfällen durch säumige Mieter zu schützen. 
Neben der SCHUF A, die sich um den Anschluss der ge- 
werblichen Wohnungswirtschaft an den Kreis ihrer V er- 
tragspartner bemüht, schließen sich auch mehr und mehr 
Wohnungsuntemehmen und einzelne V ermieter zu Gläubi- 
gerschutzgemeinschaften zusammen und errichten W arn- 
dateien. 

Hier werden zum T eil sensibelste Daten erhoben, gespei- 
chert und übermittelt, deren Rechtmäßigkeit jedoch zwei- 
felhaft ist. Bereits das Inte resse an einer W ohnung kann 
dazu führen, dass Betrof fene in eine Datei aufgenommen 
werden. Wohnungssuchende, die längere Zeit auf W oh- 
nungssuche sind und in dieser Zeit an mehreren W ohnun- 
gen Interesse gezeigt haben, fallen Vermietern direkt als 
unseriös ins Auge. Detaillierte Fragen nach den V ermö- 
gensverhältnissen wie besteh ende Ratenzahlungen, Höhe 
von Unterhaltszahlungen etc., über Fragen nach der Staats- 
angehörigkeit bis hin zur Frage nach Personalausweis- 
oder Passnummer sind üblich . Vermieter melden in diese 
Wamdateien zum Teil verspätete oder unregelmäßige Miet- 
zahlungen (die im Einzelfall z. B. durch Mietminderung 
wegen Mangels etc. begründet sein können und nicht unbe- 
dingt auf eine generelle Zahl ungsunfähigkeit oder -Willig- 
keit hinweisen), vertragswidriges V erhalten oder Verstöße 
gegen die Hausordnung. 

Das Interesse der W ohnungswirtschaft, „schwarze Schafe“ 
unter den Mietinteressenten zu erkennen und dadurch das 
betriebswirtschaftliche Risiko bei der Vermietung zu verrin- 
gern, ist nachvollziehbar und verständlich. Doch müssen auf 
der anderen Seite auch die Belange der W ohnungssuchen- 
den beachtet werden. Die W ohnung zählt zum Mittelpunkt 
des privaten Lebensbereiches. W enn es möglich ist, dass 
durch ungeprüfte Eingaben von Mieterdaten jedermann zum 
„Negativmieter“ gestempelt werden kann, dann lässt sich 
nicht ausschließen, dass Personen auch unverschuldet und 
ohne berechtigten Anlass in diesen Ruf geraten. Auch die 
Einwilligung der Betroffenen in dieses Verfahren steht der 
datenschutzrechtlichen Bedenklichkeit nicht entgegen. Ge- 
rade bei der Mietsituation in Ballungsräumen bleibt W oh- 
nungssuchenden in der Regel keine freie W ahl, ob sie in 
diese Art der Datenerhebung und -nutzung einwilligen oder 
nicht. Die Rechtmäßigkeit der Einwilligungserklärung nach 
dem BDSG dürfte in den meisten Fällen zumindest bedenk- 
lich sein. 

Die Aufsichtsbehörden befassen sich mit dieser Problema- 
tik. Wünschenswert wäre hier die Festlegung auf einen da- 
tenschutzrechtlichen Forderungskatalog, den W arndateien 
im Wohnungswesen zu beachten hätten. 
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10.9 Keine Hilfe gegen unerwünschte 
Werbeflut? 

Die Werbung ist ein wirtschaf dich bedeutender T eil der 
Marktwirtschaft. Viele Menschen wollen aber gar keine 
Werbung und manche nur bestimmte W erbung. Während 
man sich gegenüber Briefwerbung und Wurfsendungen und 
dem damit verbundenen überquellenden Briefkasten inzwi- 
schen ganz gut wehren kann, ist die Situation bei unverlang- 
ter elektronischer Werbung, die in den letzten Jahren einen 
enormen Umfang angenommen hat, bis heute sehr unerfreu- 
lich, wie man den nachfolgenden beiden Beiträgen entneh- 
men kann (vgl. darüber hinaus Nr . 11.4). Hier gibt es aber 
vielleicht ein Lichtlein am Ende des Tunnels, und zwar Arti- 
kel 13 der Richtlinie 2002/58/EG des Europäischen Parla- 
ments und des Rates der Europäischen Union, dem bis zum 
3 1 . Oktober 2003 das nationale Recht der Mitgliedsstaaten 
entsprechen muss. 

Danach ergreifen die Mitgli edsstaaten geeignete Maßnah- 
men, um (gebührenfrei für die Teilnehmer) sicherzustehen, 
dass unerbetene Nachrichten zum Zweck der Direktwer- 
bung grundsätzlich nicht gestattet sind. 

Auf jeden Fall verboten ist die V ersendung elektronischer 
Nachrichten ohne Angabe de s Absenders bzw. Auftragge- 
bers oder gültiger Adresse, an die der Empfänger eine Auf- 
forderung zur Einstellung solcher Nachrichten richten kann. 

Es bleibt abzuwarten, ob durch diese europäische Richtlinie 
die elektronische W erbeflut tatsächlich eingedämmt wird. 
Einer Verlagerung der W erbung ins weitere Ausland kann 
möglicherweise durch entsprechende Filter in einer Reihe 
von Fällen begegnet werden. 

10.9.1 Jetzt habe ich aber die Faxen dick!!! 

Unerwünschte Werbung ist bei Faxgeräten ein besonders 
großes Problem. Hier fallen be im Empfänger nicht nur er- 
hebliche zusätzliche Kosten (Strom, Papier, Toner) an. Zu- 
dem wird die bestimmungsgemäße Funktion der Faxanlage 
stark beeinträchtigt, weil das Faxgerät in dieser Zeit besetzt 
ist und andere wichtige Schreiben weder empfangen noch 
gesendet werden können. Besonders är gerlich ist ein durch 
Werbefaxe ausgelöster nächtlicher Papierstau, weil ihn der 
Empfänger oft nicht bemerkt (das gilt natürlich auch, wenn 
Papier und Toner durch Werbefaxe aufgebraucht werden). 
Bei Faxgeräten im Privatbereich ist darüber hinaus beson- 
ders störend, dass die Geräte immer noch recht laut sind und 
durch nächtliche Werbefaxe die Nachtruhe erheblich beein- 
trächtigt werden kann. 

Nach höchstrichterlicher Rech tssprechung ist unverlangte 
Faxwerbung unzulässig und verstößt gegen § 1 des Gesetzes 
gegen den Unlauteren Wettbewerb, wenn zwischen Absen- 
der und Empfänger keine Geschäftsbeziehung besteht und 
auch sonst der Absender nicht annehmen darf, die Zusen- 
dung durch Telefax erfolge mit dem mutmaßlichen Einver- 
ständnis des Empfängers. Abmahnungen oder Klagen er- 
scheinen allerdings wenig vielversprechend; abgesehen von 
dem Aufwand und den Kosten ist häufig der Absender der 
Faxwerbung nicht erkennbar . Um Faxpapier , Toner und 
Nerven zu sparen, gibt es folgende andere Möglichkeiten: 

— Auch für die Faxwerbung gibt es eine so genannte 
Robinson-Liste, die im Auftrag des B1TKOM (Bundes- 


verband Informationswirtschaft, Kommunikation und 
neue Medien e. V.) geführt wird. 

- Ein Formular zur Eintragung in die Liste ist unter der 
Fax-Nr.: 01805/000761 abrufbar . Die Liste gilt aller- 
dings nur für Mitglieder im Bundesverband, die sich zur 
Beachtung verpflichtet haben. 

— Bei Bestellung von W aren kann man schriftlich wider- 
sprechen, dass die Daten für Zwecke der W erbung und 
Marktforschung benutzt werden. 

- ISDN-Anlagen können Faxe ohne erkennbare Anruf- 
nummer abweisen. 

- Bei schwerwiegenden Belästigungen oder bei Bedrohun- 
gen kann man bei seinem Telekommunikationsuntemeh- 
men eine so genannte Fangschaltung beantragen. 

— Wenn man auf eine Bekanntgabe (z. B. aus beruflichen 
Gründen) der Faxnummer nicht angewiesen ist, kann 
man auf die Veröffentlichung im Telefonverzeichnis ver- 
zichten. 

— Wenn gar nichts hilft und man die Faxen dick hat, bleibt 
nur noch eins: Beantragung einer neuen Faxnummer. 

10.9.2 Unerwünschte E-Mails oder 
Das kleinere Übel 

E-Mails, die Inhaber einer E-Mail-Adresse ungefragt erhal- 
ten, werden euphemistisch unerwünscht genannt. Diese Be- 
zeichnung lässt leider nicht den tagtäglichen Kampf und die 
Wut der Betrof fenen erkennen, die diese wohlgemeinten 
Werbebotschaften hervorrufen. Der englischen Bezeich- 
nung „spam“ kann das aufgrund seiner ursprünglichen V er- 
wendung in einer Satiresendung schon eher gelingen. Denn 
diese E-Mails haben sich inzwischen zu einer wahren Plage 
ausgewachsen. Hinzu kommt das Problem der so genannten 
Dialer, die — ebenso unerwünscht installiert - den Internet- 
nutzer nicht nur Zeit und Nerven, sondern auch Geld kosten 
(s. u. Nr. 11.4). 

Den ratsuchenden Bürgern kann ich kaum Erfreuliches oder 
Hilfreiches mitteilen: 

Dass nach überwiegend einheitlicher deutscher Rechtspre- 
chung das Versenden unerwünschter E-Mails nicht erlaubt 
ist, was aber leider vielfach nicht beachtet wird. Dass die 
Versender von spams in vielen Fällen nicht ermittelt werden 
können, weil die Absenderadresse und die Identifikations- 
angaben beim Provider gefälscht sind - da hilft dann auch 
der in§ 13a Unterlassungski agengesetz verankerte Aus- 
kunftsanspruch des Betroffenen nicht weiter. Dass ein gro- 
ßer Teil dieser E-Mails aus außereuropäischen Staaten 
kommt und somit die deutschen oder europäischen Daten- 
schutzgesetze nicht gelten. Da ss die spammer inzwischen 
nicht nur die im Internet gesammelten und in V erzeichnis- 
sen verfügbaren E-Mail-Adressen verwenden, sondern auto- 
matisch und systematisch Adre ssen generieren, sodass es 
über kurz oder lang jeden trifft. Dass ein Widerspruch beim 
Versender meistens nicht nur wirkungslos ist, sondern die- 
sem lediglich bestätigt, dass es sich um eine aktive E-Mail- 
Adresse handelt. 

Was nützt da noch ein Eintrag in die Robinson-Liste oder 
ein vorsichtiges und zurückhaltendes Umgehen mit der ei- 
genen E-Mail-Adresse, muss sich angesichts dieser Situa- 
tion jeder Betroffene fragen. Und was tun die Provider? Die 
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tun ihr Möglichstes, d. h. was im Rahmen der Gesetze er- 
laubt ist. Sie weisen E-Mails von so genannten Open Relay 
Servern ab — das sind Server, die ein Versenden von E-Mails 
unter einer beliebigen, frei wähl- und fälschbaren Absender- 
adresse zulassen. Sie filtern E-Mails vor, die von bekannten 
spam-Adressen stammen. Sie bieten zusätzlich Filter für 
ihre Kunden an, die diese dann selbst einsetzen müssen. Sie 
sperren entsprechend ihre n Nutzungsbedingungen die 
Adressen von eigenen Kunden, wenn diese ihnen als spam- 
mer gemeldet werden. Eine inhaltliche Filterung der E-Mails 
durch den Provider kommt jedoch wegen des Femmelde- 
geheimnisses nicht in Frage, auch wenn einige Nutzer dies 
Vorschlägen. 

Sicherlich gäbe es eine Möglichkeit, die unerwünschte Wer- 
beflut im Netz weitgehend einzudämmen. Die sähe dann 
folgendermaßen aus, weltweit und für alle: Anmeldung 
beim Provider nur mit Vorlage des Personalausweises, Pro- 
tokollierung und Inhaltskontrolle des gesamten E-Mail-Ver- 
kehrs, bedingungsloser Auskunftsanspruch für jeden jeder- 
zeit. Unabhängig vom Aufwand und den Kosten wird doch 
jeder angesichts eines solchen Szenarios die unerwünschten 
E-Mails als das kleinere Übel hinnehmen! Und sie weiterhin 
ignorieren und die Löschen-Taste betätigen. 

11 Telekommunikations- und Teledienste 

11.1 Europäische Entwicklungen des Daten- 
schutzrechts in den neuen Medien 

Die Ausgestaltung des Datenschutzes in den neuen Medien 
wird heutzutage nicht mehr nur durch den deutschen Ge- 
setzgeber bestimmt. Die Intern ationalität der Unternehmen, 
der Geschäftsmodelle und der zum Einsatz kommenden 
technologischen Lösungen macht es vielmehr immer wich- 
tiger, auf europäischer Ebene auf die damit verbundenen 
Flerausforderungen für den Datenschutz zu reagieren. Dies 
hat die Europäische Union erkannt und mit der Daten- 
schutzrichtlinie für die elektronische Kommunikation be- 
reichsspezifische Datenschutzregelungen vor gegeben, die 
von den Mitgliedsstaaten in nationales Recht umgesetzt 
werden müssen. Neben diesen gesetzgeberischen Aktivitä- 
ten hat die Europäische Union aber auch Beratungsgremien 
zum Schutz der personenbezogenen Daten in den neuen 
Medien geschaffen, wie beispi eisweise die International 
Working Group for Data Protection in T elecommunications 
und die Internet Task Force der Artikel 29-Gruppe. 

11.1.1 In-Kraft-Treten der EU-Datenschutzricht- 
linie für elektronische Kommunikation 

Mit der EU-Richtlinie 2002/58/EG über „die V erarbeitung 
personenbezogener Daten und den Schutz der Privatsphäre 
in der elektronischen Kommunikation“ vom 12. Juli 2002 
hat die EU auf die rasante Entwicklung bei den modernen 
Kommunikationsmedien reagiert und den Datenschutz in 
diesem Bereich weiter gestärkt. Damit wurde die alte T ele- 
kommunikations-Datenschutzrichthnie 97/66/EG aufgeho- 
ben. Die Mitgliedsstaaten haben die Richtlinie umzusetzen 
und dies der Kommission entsprechend mitzuteilen. Die 
Umsetzung, für die eine Frist bis zum 3 1 . Oktober 2003 ge- 
setzt wurde, soll im Rahmen einer allgemeinen Novellie- 
rung des Telekommunikationsgesetzes erfolgen. 

Die Regelungen zum Datenschutz in diesem Bereich muss- 
ten an die Entwicklungen der Märkte und T echnologien für 


elektronische Kommunikationsdienste angepasst werden. 
Der Schutz der Nutzerdaten so Ute unabhängig von der be- 
nutzten Technologie sichergestellt werden. Der Geltungs- 
bereich der neuen Richtlinie wurde deshalb weiter gefasst 
als bisher und bezieht sich jetz t auf alle Bereiche der elek- 
tronischen Kommunikation. Entsprechend dem technischen 
„Zusammenwachsen“ von Telekommunikations- und Tele- 
diensten wurde eine Richtlin ie geschaffen, die den Daten- 
schutz für beide Bereiche regelt. Dies ist aus meiner Sicht 
besonders positiv zu bewerten, weil es in der Praxis immer 
wieder schwer fällt, diese Bereiche zu trennen. 

Neu aufgenommen wurde eine Regelung zu Standortdaten 
im Mobilfünk, die nur unter bestimmten V oraussetzungen 
verarbeitet und an Dritte übermittelt werden dürfen. Damit 
sollte eine Schutzvorschrift zugunsten der Nutzer so ge- 
nannter standortbasierter Dienste (Location Based Services, 
s. Nr. 11.6) geschaffen werden. Der Anwendungsbereich 
der bisherigen V orschrift zum Schutz vor unerwünschten 
Anrufen wurde erweitert auf die Zusendung unerwünschter 
E-Mails. Danach ist die Zusendung von W erbung nur nach 
vorheriger Einwilligung zulässig; anonyme Direktwerbung 
ist auf jeden Fall verboten. Im Fhnblick auf T eilnehmerver- 
zeichnisse wurde eine Infonnationspflicht über den Zweck 
dieser Verzeichnisse und die technisch erweiterten Nut- 
zungsmöglichkeiten aufgenommen. 

11.1.2 Ergebnisse der Internationalen 
Arbeitsgruppe zum Datenschutz 
in der Telekommunikation 

Die International Working Group for Data Protection in Te- 
lecommunications hat seit ih rer Gründung 1983 eine V iel- 
zahl von Empfehlungen zur V erbesserung des Datenschut- 
zes in der T elekommunikation herausgegeben. T eilnehmer 
sind Datenschutzbehörden, aber auch Regierungsstellen, 
Vertreter internationaler Organisationen und Wissenschaft- 
ler aus aller W eit. Auch Mitarbeiterinnen meines Elauses 
nehmen an den zweimal jährli ch stattfindenden Sitzungen 
teil. 

Im Berichtszeitraum wurden gemeinsame Standpunkte erar- 
beitet und Arbeitspapiere zu Fragen des Datenschutzes bei 
der Nutzung des Internets und der T elekommunikation be- 
schlossen. Die technische Entwicklung in diesem Bereich 
macht es erforderlich, dass grundlegende Fragen auch in ei- 
ner engen internationalen Zusammenarbeit diskutiert und 
beantwortet werden. 

Einige wichtige Ergebnisse sollen hier beispielhaft aufge- 
führt werden. So wurde im Februar 2001 ein gemeinsamer 
Standpunkt zum Thema „Datenschutz und Aufenthaltsinfor- 
mationen in mobilen Kommunikationsdiensten“ verabschie- 
det. Wegen der verbesserten Genauigkeit von Aufenthaltsin- 
formationen und dem vermehrten Angebot standortbasierter 
Dienste wurden grundlegende Prinzipien empfohlen, die 
von den anbietenden Unternehmen beachtet werden sollen. 
Anbieter von Mehrwertdiensten sollen nur Zugang zu Auf- 
enthaltsdaten erhalten, wenn der Nutzer seine informierte 
Einwilligung gegeben hat. Die Erstellung von Bewegungs- 
profilen durch Anbieter von T elekommunikations- und 
Mehrwertdiensten soll grundsätzlich verboten sein. Etwas 
anderes gilt nur, wenn dies für die Erbringung des Dienstes 
notwendig ist und der Nutzer eingewilligt hat. Die Aufent- 
haltsinfonnationen sollen möglichst nicht mit personenbe- 
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zogenen Angaben an Anbieter von Mehrwertdiensten wei- 
tergegeben werden. Soweit technisch realisierbar , sollen 
pseudonymisierte Infonnationen genutzt werden. 

Im August 2001 wurde ein Arbeitspapier zu „Datenschutz 
und intemetgestützter Stimma bgabe bei W ahlen zu Parla- 
menten und anderen staatlichen Einrichtungen“ erarbeitet, 
ln vielen Ländern wird die Möglichkeit der Wahl in elektro- 
nischer Form diskutiert. Die Einhaltung des W ahlgeheim- 
nisses und die Frage der T ransparenz und Überprüfbarkeit 
des Wahlverfahrens sind von entscheidender Bedeutung für 
die Akzeptanz von online-voting. Bei papieigestützten Wah- 
len ist dies leichter erreichbar . Die Arbeitsgruppe hat des- 
halb empfohlen, die kompliziert en technischen Fragen be- 
züglich der Verlässlichkeit und Sicherheit der Verfahren vor 
einem Einsatz zu beantworten und eine gründliche Risiko- 
analyse sowie Testverfahren durchzuführen. DieAuthenti- 
fizierungsverfahren sollten nicht weniger sicher sein als bei 
papiergestützten Abstimmungen. Die gesamte Hard- und 
Software einschließlich des Quellcodes muss dokumentiert 
und einer Prüfung zugänglich gemacht werden. Zusätzlich 
müssen vertrauenswürdige Zertifizierungsverfahren für 
Hard- und Software eingesetz t werden (vgl. hierzu auch 
Nr. 7.8.2). 

Im Frühjahr 2002 wurde ein Arbeitspapier zur Überwa- 
chung der Telekommunikation vorgelegt. Da in vielen Län- 
dern die Befugnisse staatlic her Stehen zur Überwachung 
ausgeweitet wurden, erschien es wichtig, nochmals deutlich 
zu machen, dass bei Eingrif fen in das Femmeldegeheimnis 
Notwendigkeit und V erhältnismäßigkeit zu beachten sind, 
ln dieser Hinsicht wurden die vom Europäischen Parlament 
aufgestellten Vorschläge ausdrücklich unterstützt. So wird 
gefordert, dass die Staaten ein gemeinsames Schutzniveau 
gegenüber nachrichtendienstlichen Tätigkeiten anstreben 
und einen Verhaltenskodex ausarbeiten sollen, der sicher- 
stellt, dass die Tätigkeit der Nachrichtendienste in Überein- 
stimmung mit den Grundrechten und dem Schutz der Privat- 
sphäre ausgeübt wird. Die Po litik soll die Sensibilisierung 
der Nutzer moderner Kommunikationssysteme für die Not- 
wendigkeit und Möglichkeit des Schutzes vertraulicher In- 
formationen erhöhen. Benutzerfreundliche Kryptosoftware 
soll gefördert, entwickelt und hergesteht werden. 

11.1.3 ITF, übernehmen Sie! 

Die Internet Task Force (ITF) ist eine Art „Sondereinsatz- 
Gruppe“ der Artikel 29-Gruppe (s . o. Nr. 3.6), wenn es da- 
rum geht, besondere Aufgaben im Zusammenhang mit Da- 
tenschutzfragen im Internet zu lösen oder Problemen in die- 
sem Bereich auf den Grund zu gehen. So wurde Ende 2000 
ihr bisher umfangreichstes und vielbeachtetes Papier „Pri- 
vatsphäre im Internet - Ein integrierter EU -Ansatz zum On- 
line-Datenschutz“ veröffentlicht. Trotz des Umfangs ist die- 
ses Arbeitspapier nicht nur für Laien auf den Gebieten der 
Technik und des Datenschutzes ein hilfreiches Grundlagen- 
und Nachschlagewerk zu vielen Fragen in unterschiedlichen 
Bereichen des Internet. 

Anfang 2002 erhielt die ITF den Auftrag, den Online-Au- 
thentifizierungsdienst „Passport“ von Microsoft näher zu 
untersuchen. Passport dient dazu, dem Nutzer durch ein so 
genanntes Single-Sign-On ein wiederholtes Anmelden mit 
immer denselben Angaben (z. B. Lieferadresse, Bankdaten) 
bei von Microsoft angebotenen Diensten und zahlreichen 


angeschlossenen Diensten zu ersparen. Zu diesem Zweck 
muss der Nutzer sich beim Passport Service registrieren las- 
sen und erhält eine eindeutig e Identifikationsnummer. Ein 
solcher Service mag ja unter bestimmten Umständen durch- 
aus nützlich sein, Unbehagen ruft es aber schon hervor , 
wenn der Nutzer keine W ahl hat, sobald er Microsoft- 
Dienste in Anspruch nehmen will. V or allem weil mithilfe 
der Identifikationsnummer detaillierte Profile des einzelnen 
Nutzers ersteht werden können. 

Da massive Kritik von Seiten der Nutzer und der Daten- 
schützer nach Einführung des Dienstes nicht lange auf sich 
warten ließ, hatte sich Microsoft auf Anfrage der Artikel 29- 
Gruppe bereit erklärt, zur Klärung der vielen offenen Fragen 
aktiv beizutragen. Mit der erhofften Offenheit hat Microsoft 
der ITF Rede und Antwort gestanden und Änderungen in 
den datenschutzrelevanten Bereichen versprochen. Dies be- 
trifft insbesondere die Unterrichtung der Nutzer vor der Er- 
hebung der Daten, die Einwilligungserklärung und die V er- 
wendung der Identifikationsnummer. 

Hier zeigt sich, dass auch ein marktbeherrschender US-Her- 
steller wie Microsoft nach entsprechender Intervention 
durchaus bereit ist, europä ische Datenschutzregelungen zu 
berücksichtigen. Letztlich dürfte Microsoft seinen Passport 
Service in entscheidenden Punkten nachbessem. 

Ein endgültiges Er gebnis lag bei Redaktionsschluss noch 
nicht vor. 

11.2 Datenschutz im Internet 

11.2.1 Neues Datenschutzrecht für 
die elektronischen Medien 

Schon relativ kurz nach der Novellierung des Telediensteda- 
tenschutzgesetzes (TDDSG) im Dezember 2001 wird die 
nächste Gesetzesänderung vorbereitet. Initiiert durch die 
Entschließung des Deutschen Bundestags vom 4. Juli 2002 
(Bundestagsdrucksache 14/8649) wird damit das Ziel ver- 
folgt, „die Eigenverantwortung der Medienwirtschaft zu 
stärken und ihr mehr Freiraum für Selbstregulierung zu ge- 
ben, zugleich aber sicherzustellen, dass der Staat und seine 
Aufsichtsinstanzen eine Auf fangverantwortung behalten 
und diese auch wahmehmen können“, kurz: eine regulierte 
Selbstregulierung oder Co-Regulierung zu installieren. 

Das vorgeschlagene Modell sieht vor, die bestehenden Da- 
tenschutzaufsichtsstrukturen beizubehalten, aber durch eine 
neue Säule der freiwilligen Se lbstregulierung zu ergänzen. 
Damit wird jedoch kein zusätzliches Kontrollinstrument 
geschaffen, sondern im gleichen Maße, wie der Medienwirt- 
schaft mehr Verantwortung übertragen wird, sollen die Da- 
tenschutzaufsichtsbehörden entlastet werden. Die Selbst- 
regulierungseinrichtungen bedürfen einer förmlichen 
Anerkennung durch mich. Das V erfahren und die inhalt- 
lichen Details der Akkreditierung sollen im Gesetz of fen- 
gelassen werden und von mir noch festzulegen sein. 

Zusätzlich soll die Zusammenführung der Bereiche T ele- 
dienste, Mediendienste und Rundfunk in ein Gesetz das Da- 
tenschutzrecht für die elektronischen Medien vereinfachen, 
wobei im W esentlichen bestehendes Recht übernommen 
werden soll. Besonders begrüßenswert ist die Klärung der 
alten Streitfrage „T elekommunikations- oder T eledienst“ 
durch die explizite Zuordnung der Zugangsvermittlung, der 



Drucksache 15/888 


-76- 


Deutscher Bundestag - 15. Wahlperiode 


E-Mail-Dienste und der Intemettelefonie zu den T elekom- 
munikationsdiensten. 

Die vom zuständigen Minister ium für W irtschaft und Ar- 
beit in einem ersten Entwurf formulierten Strukturüberle- 
gungen werden zurzeit in den Ländern diskutiert. In einem 
späteren Schritt sollen die Datenschutzaufsichtsbehörden 
und Vertreter der betroffenen Unternehmen, des Rundfunks 
und der Presse in einer Expertenrunde zu W ort kommen. 
Dass schon jetzt V orbehalte bezüglich der Selbstregu- 
lierungseinrichtungen laut werd en, die mit der nicht ge- 
währleisteten Unabhängigkeit solcher Stellen begründet 
werden, mag nicht verwundern, ist damit doch eine Umver- 
teilung der Aufgaben verbunden. Andere Stimmen lassen 
vernehmen, dass die W irtschaft auch ohne Co-Regulierung 
durch den Staat auskommen könne und somit eine allei- 
nige Selbstkontrolle die richtige Lösung sei. 

Wird das geplante Modell der regulierten Selbstregulierung 
realisiert, so ist dies im Bereich der Datenschutzaufsicht ein 
Schritt in eine neue Richtung. 

11.2.2 Nichts Neues im Datenschutz 
bei Telediensten 

Immer mehr Internetprovider setzen die V orschriften des 
Teledienstedatenschutzgesetzes um. Die Bemühungen der 
Datenschutzaufsichtsbehörden - Kontrollen und Beratung, 
unter anderem in Form von Orientierungshilfen - scheinen 
also Früchte zu tragen. Vielleicht hat auch das gute Beispiel 
einiger Provider andere folgen lassen. Doch leider gibt es 
auch immer mehr neue Anbiet er, für die der Datenschutz 
und das TDDSG unbekannte Größen sind, sodass im Ergeb- 
nis weiterhin keine flächend eckende Verbesserung des Da- 
tenschutzes bei Telediensten festzustellen ist. Das vermögen 
auch die hin und wieder auf flammenden Abmahnwellen 
nicht zu leisten, die das Fehlen der so genannten Privacy Po- 
licy oder des Impressums auf Internetseiten mit einem Buß- 
geld belegen wollen, aber aufgrund der Art der Durchfüh- 
rung wohl weniger dem Datens chutz als der Geldbörse der 
Abmahnenden dienlich sein sollen. 

Lediglich die Problemschwerpunkte, die die Diskussion mit 
den Nutzern und der Datenschützer untereinander beherr- 
schen und gelöst werden müssen, ändern sich sporadisch: 
Waren es in der V ergangenheit cookies und die damit ver- 
bundene Möglichkeit der Profilbildung, später dann die Ver- 
wendung von online erhobenen personenbezogenen Daten 
in der offline-Welt für die Zusendung von W erbebriefen, so 
ist es heute die Überflutung mit unerwünschten E-Mails 
(s. o. Nr. 10.9.2). Dies ist in erster Linie ein V erbraucher- 
schutzproblem, was aber durch die ungewollte Verwendung, 
Sammlung und Weitergabe der E-Mail-Adresse zum Daten- 
schutzproblem werden kann. Zukünftig werden uns wohl 
eher Datenschutzprobleme im Zusammenhang mit Zah- 
lungsverfahren im Internet (s. u. Nr. 11.2.3) beschäftigen, da 
die Tendenz zu erkennen ist, Dienste oder Infonnationen 
kostenpflichtig anzubieten. Dies sind zumindest Überlegun- 
gen einiger Anbieter, da der Versuch, die Angebote nur über 
Werbung zu finanzieren, wenig erfolgreich war. 

11.2.3 Datenschutzgerechte Zahlungsverfahren 
im Internet 

ln meinem letzten Tätigkeitsbericht habe ich darüber infor- 
miert, dass sich die Datens chutzbeauftragten künftig einge- 


hend mit der datenschutzrechtlichen Bewertung von Zah- 
lungssystemen im Internet beschäftigen werden (18. TB 
Nr. 8.4). Im Februar 2001 fand dann eine Präsentationsver- 
anstaltung beim Brandenbur gischen Landesdatenschutz- 
beauftragten statt, zu der sieben Anbieter von Zahlungssys- 
temen im Internet eingeladen wurden. 

Eine sehr dif ferenzierte datenschutzrechtliche Bewertung 
der bei der V eranstaltung vorgestellten Verfahren konnte 
nach dieser kurzen Präsentation allerdings nicht vor genom- 
men werden. Es wurden zwar anhand bestimmter Kriterien 
Vorteile und Schwachstellen aus datenschutzrechtlicher 
Sicht diskutiert. Ein V ergleich der einzelnen V erfahren un- 
tereinander war aber nur schwer möglich, da den vorgestell- 
ten Lösungen ganz unterschiedliche Ansätze von der reinen 
Software-Lösung bis zum integrierten Zahlungsverfahren 
zugrunde lagen. Die V erfahren wurden zunächst daraufhin 
untersucht, inwieweit sie sich an den vorgegebenen Zielen 
von Datenvermeidung und Datenspa rsamkeit ausrichteten. 
Darüber hinaus wurden Aspekt e der Datensicherheit in die 
Betrachtung einbezogen sowie Stellung dazu genommen, ob 
die Zahlungsvorgänge für den Kunden transparent und 
nachvollziehbar sind. 

Im Ergebnis konnte festgehalten werden, dass alle sieben 
Anbieter bei Datenvermei düng und Datensparsamkeit auf 
einer Skala durchgängig von zufr iedenstellend bis absolut 
positiv zu bewerten waren. Die Kriterien der Datensicher- 
heit erfüllten alle Anbieter gut bis sehr gut. Diese Bewer- 
tung hat allerdings eine eingeschränkte Aussagekraft, da sie 
auf nicht näher überprüfbaren Angaben der Anbieter beruht. 
Auch bei der T ransparenz und Handhabbarkeit der Zah- 
lungssysteme für den Kunden gab es keine nennenswerten 
negativen Einschränkungen. W egen der Einzelheiten der 
Untersuchungsergebnisse möchte ich auf die Intemetseite 
des Landesbeauftragten für den Datenschutz und für das 
Recht auf Akteneinsicht Brandenbur g www.lda.branden- 
burg.de verweisen. 

Zusammenfassend kann ich festhalten, dass alle sieben An- 
bieter ein hohes Interesse an Fragen des Datenschutzes und 
der Datensicherheit haben, da diese Merkmale auch von An- 
bieterseite als entscheidend für die Akzeptanz empfunden 
werden. Datenschutz und Datensicherheit werden weniger 
als Behinderung vielmehr als Marktvorteil begriffen. Bei al- 
len vorgestellten Verfahren sind unterschiedliche Möglich- 
keiten der anonymen oder pseudonymen Nutzung vor gese- 
hen, die ein entsprechendes Maß an Sicherheit beim 
Zahlungsverkehr im Internet gewährleisten. Es wird weiter 
zu beobachten sein, wie sich diese elektronischen Zahlungs- 
systeme zukünftig am Markt etablieren werden. 

11.3 Hoheitliche Eingriffe in 
die Telekommunikation 

Regelmäßig berichte ich über die Situation der Telefonüber- 
wachung in Deutschland und muss dabei immer wieder - so 
auch in diesem Jahr - einen stetigen Anstieg der Überwa- 
chungszahlen melden (s. Nr. 8.3). Neben der kritischen Be- 
gleitung von Rechtssetzungsmaßnahmen zur Schaf füng 
neuer Rechtsgrundlagen für die Überwachung von T ele- 
kommunikation (s. Nm. 8.2.1, 8.2.4) setze ich mich auch für 
eine datenschutzgerechte Umsetzung von Überwachungs- 
maßnahmen ein. Meine Beteiligung an den Arbeiten zur Te- 
lekommunikations-Überwachungsverordnung mag hierfür 
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ein Beispiel sein. Schließlic h gilt mein besonderes Augen- 
merk, den Bestrebungen im europäischen und im deutschen 
Raum entgegenzuwirken, die eine verdachtsunabhängige 
Vorratsdatenspeicherung von Verbindungsdaten bei den Te- 
lekommunikationsuntemehmen einführen wollen. 

11 .3.1 Technische Aspekte bei der Überwachung 
von E-Mail 

Überwachungsmaßnahmen des E-Mail-V erkehrs werden 
von den Strafverfolgungsbehörden schon seit längerer Zeit 
durchgeführt. Bisher sind die Anforderungen an die Über- 
mittlung der überwachten E-Mails allerdings nicht geregelt, 
da kein Standard für die Übertragung besteht und insbeson- 
dere keine V erschlüsselung vorgesehen ist. Dies hat zur 
Folge, dass die überwachten E-Mails vom Anbieter zur 
Strafverfolgungsbehörde offen über das Internet übertragen 
werden. 

Ich halte die unverschlüsselte Übertragung sensibler E-Mails 
für bedenklich (s. auch 17. TB Nr . 8.4 und 18.4). Die T at- 
sache, dass eine E-Mail-Adresse überwacht wird, ist bereits 
eine sehr brisante Informati on, die eine gesicherte Übertra- 
gung der E-Mail erforderlich macht - selbst wenn die ur- 
sprüngliche E-Mail unverschlüsselt ist. Deshalb hat die Re- 
gulierungsbehörde für T elekommunikation und Post im 
Sommer 2002 die betroffenen Anbieter, Flersteller und Be- 
hörden eingeladen, um eine Re gelung für die sichere Über- 
tragung der überwachten E-Mails zu finden. Diese Initiative 
wird auch von mir unterstützt. Inzwischen haben hierzu 
mehrere Gespräche stattgefunden. 

Ich rechne damit, dass die „T echnische Richtlinie zur Be- 
schreibung der Anforderungen an die Umsetzung gesetzli- 
cher Maßnahmen zur Überwachung der T elekommunika- 
tion“ Anfang 2003 geändert und die beschlossene T echnik 
im Frühjahr 2003 umgesetzt wi rd. Damit sollte dann eine 
ungeschützte Übertragung der Vergangenheit angehören. 
Eine schneller umsetzbare Lösung wäre hier zwar wün- 
schenswert gewesen, war aber aus technischen und or gani- 
satorischen Gründen nicht möglich. 

11.3.2 Die neue Telekommunikations- 
Überwachungsverordnung 

Mit § 88 Telekommunikationsgesetz (TKG) gibt es seit Juli 
1996 eine Ermächtigungsgrundlage zum Erlass einer V er- 
ordnung für die technische Umsetzung von Überwachungs- 
maßnahmen im Bereich der Telekommunikation. Bereits im 
Mai 1998 wurde ein erster Entwurf für eine „V erordnung 
über die technische und or ganisatorische Umsetzung von 
Überwachungsmaßnahmen in der T elekommunikation (Te- 
lekommunikations-Überwachungsverordnung - TKÜV)” 
vorgelegt. Dieser wurde in der Öfentlichkeit sehr kontrovers 
diskutiert und aufgrund der dabei geäußerten Kritik vom fe- 
derführenden BMWi kurzfristig zurückgezogen (s. 17. TB 
Nr. 10.1.5.1 und 18. TB Nr 10.1.3). Im darauffolgenden Jahr 
wurden dann vom Ministerium die „Eckpunkte für den Re- 
gelungsrahmen der Rechtsverordnung nach § 88 TKG’’ vor- 
gelegt. 

Die Datenschutzbeauftragten des Bundes und der Länder ha- 
ben in einer Entschließung vom 10. Mai 2001 (s. Anlage 16) 
darauf aufmerksam gemacht, dass die technikneutrale For- 
mulierung der ersten Entwürfe datenschutzrechtlich proble- 
matisch sei. Es bestand zum damaligen Zeitpunkt die Gefahr' 


dass nicht nur die Sprachtelefonie und der T elefaxverkehr, 
sondern auch alle anderen elektronischen Kommunikations- 
plattformen und damit insbesondere das Internet erfasst wür- 
den. 

Die TKÜV ist dann am 29. Januar 2002 in Kraft getreten 
und ersetzt die bislang geltende Femmeldeverkehr-Überwa- 
chungs-Verordnung aus dem Jahr 1995. Es wurde ein in lan- 
gen Diskussionen gefundener tragfähiger Kompromiss zwi- 
schen den berechtigten Belangen der Strafverfolgungs- und 
Sicherheitsbehörden auf der einen und den nachzuvollzie- 
henden Interessen der verpf lichteten Telekommunikations- 
Unternehmen auf der anderen Seite gefunden. So sind etwa 
Intemetprovider — bis auf die Fälle angeordneter Überwa- 
chungen von E-Mails - durch die TKÜV von der gesetz- 
lichen Verpflichtung freigestellt worden, technische Über- 
wachungseinrichtungen vorzuhalten. Gleiches gilt auch für 
die Betreiber von Corporate Networks. 

Die TKÜV wurde bereits zum 24. August 2002 geändert 
und dabei um Vorschriften für die technische und organisa- 
torische Umsetzung von Maßnahmen der strategischen Be- 
schränkung ergänzt. Grund hierfür war die Novellierung des 
Artikel- 10-Gesetzes (G10), das nunmehr in den §§ 5 und 8 
Maßnahmen als strategische Beschränkungen vorsieht, bei 
denen die Überwachung eines Teils der Telekommunikation 
aus oder zu bestimmten Regionen im Ausland angeordnet 
werden kann (s. auch Nr . 19.2). Derartige strategische Be- 
schränkungen unterscheiden sich grundlegend von den übri- 
gen Überwachungsmaßnahmen. Dies wirkt sich bei ihrer 
technischen Umsetzung in der Weise aus, dass sie Betreiber 
anderer Telekommunikationsanlagen betrifft. Die Vorschrif- 
ten dazu sind in T eil 3 der TKÜV zusammengefasst. Die 
bisherigen Regelungen für die Umsetzung von Überwa- 
chungsmaßnahmen nach den §§ 100a, 100b Strafprozess- 
ordnung, dem § 3 G10 sowie den §§ 39 bis 43 Außenwirt- 
schaftsgesetz werden hiervon nicht berührt und sind 
inhaltlich unverändert geblieben. 

11.3.3 Überlegungen zur Vorratsspeicherung 

Es ist sicherlich nicht immer leicht, die richtige Balance 
zwischen dem Schutz personenbezogener Daten und den Si- 
cherheitsinteressen des Staates zu finden. Im Berichtszeit- 
raum wurden von verschiedenen Seiten jedoch Überlegun- 
gen angestellt, die das Gleichgewicht zulasten des einzelnen 
Bürgers zu verändern drohten und deshalb bei Datenschüt- 
zern die Alarmglocken schrillen ließen. 

Anlass war in erster Linie eine Gesetzesinitiative des Bundes- 
rates, die wesentliche datenschutzrechtliche Grundsätze außer 
Acht ließ und aus Datenschutzs icht einen massiven Angrif f 
auf das Recht auf informati onelle Selbstbestimmung dar- 
stellte. Nachdem die Befugnisse der Strafverfolgungsbehör- 
den schon zuvor erheblich erwe itert worden waren (vgl. 
hierzu Nr. 2), sah der Gesetzentwurf (Bundesratsdruck- 
sache 275/02) eine Ermächtigungsgrundlage für die Bundes- 
regierung vor, durch Verordnung Regelungen für eine V or- 
ratsspeicherung im Bereich der Telekommunikation und der 
Intemetnutzung zu treffen. Durch Aufnahme von Mindest- 
speicherfristen für Kommunikationsdaten in das T elekom- 
munikationsgesetz und das T eledienstedatenschutzgesetz 
sollte gewährleistet werden, dass Strafverfolgungs- und Si- 
cherheitsbehörden nicht mehr wie bisher durch gesetzliche 
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Löschungsfristen daran gehindert werden, auf für sie rele- 
vante Daten zurückzugreifen. 

Bei allem Verständnis für das öffentliche Interesse an einer 
effektiven Strafverfolgung muss unter Abwägung mit den 
Grundrechten der Betroffenen solchen Überlegungen nach- 
drücklich entgegen getreten werden. Die vor geschlagene 
Vorratsspeicherung würde nämlich eine umfassende flä- 
chendeckende Sammlung und Vorhaltung von Kommunika- 
tionsdaten bedeuten, ohne dass ein bestimmter Anlass zur 
Speicherung besteht. Das heißt, es würden sensible - auch 
dem Fernmeldegeheimnis unterliegende — Daten von Bür- 
gern gesammelt, obwohl gegen sie kein konkreter V erdacht 
vorliegt. Dies wäre ein gravierender Eingriff in das Persön- 
lichkeitsrecht und weder mit dem Grundsatz der Datenver- 
meidung und -Sparsamkeit noch mit dem V erhältnismäßig- 
keitsgrundsatz in Einklang zu bringen. Zudem wäre auch 
fraglich, ob eine solche Regelung dem Gebot der konkreten 
Bestimmung des Zwecks der Datenverarbeitung entspricht. 

Die Bundesregierung hat in ihrer Stellungnahme (Bundes- 
tagsdrucksache 14/9801 ) den Gesetzentwurf zwar insge- 
samt abgelehnt, hinsichtlich der Einführung von Mindest- 
speicherfristen jedoch unter Hinweis auf die Notwendigkeit 
der oben erwähnten Rechtsgüter - und Interessenabwägung 
nur bemerkt, dass der V orschlag des Bundesrates eine sol- 
che Abwägung nicht erkennen lasse. Somit wurde die For- 
derung nach einer V orratsspeicherung nicht ausdrücklich 
und eindeutig abgelehnt. Ich werde die Diskussion zu die- 
sem Thema daher weiterhin sor gsam verfolgen, zumal auf 
europäischer Ebene ein Vorstoß in die gleiche Richtung un- 
ternommen worden ist. Ein V orschlag der dänischen EU- 
Ratspräsidentschaft im Jahr 2002 sieht vor , in den Berei- 
chen Telekommunikation und Internet Mindestspeicher- 
fristen von einem Jahr oder länger für die bei der Nutzung 
dieser Medien anfallenden Verbindungsdaten einzuführen. 
Hiergegen haben die Europäischen Datenschutzbeauftragten 
anlässlich der Internationalen Datenschutzkonferenz vom 
9. bis 1 1 . September 2002 in Cardif f tief greifende Beden- 
ken geäußert, ln dem dort verabschiedeten „Statement of the 
European Data Protection Commissioners on mandatory 
systematic retention of telecommunication traf fic data“ 
(s. Anlage 4) werden erhebliche Zweifel an der Rechtmä- 
ßigkeit des Vorschlags geltend gemacht. Diesen Beschluss 
der Europäischen Datenschutzkonferenz habe ich zum An- 
lass genommen, die Bundesregierung unter Bezugnahme 
auf ihre ablehnende Haltung gegenüber der Bundesratsiniti- 
ative um weitere Unterstützung bei den Beratungen des 
Ministerrats in Brüssel zu bitten. Das Thema war bei Re- 
daktionsschluss noch nicht Gegenstand von Gesprächen auf 
Ministerebene. Auf Arbeitsebene haben jedoch bereits Be- 
ratungen, u. a. zu einem Entwurf der Multidisziplinären 
Gruppe „Organisierte Kriminalität“ begonnen. Darin wird 
gefordert, schon in nächster Zukunft bindende Regeln für 
die Angleichung der Vorschriften der Mitgliedsstaaten über 
die Pflicht zur Speicherung von Telekommunikationsdaten 
für Zwecke der Strafverfolgung festzulegen. 

Auch die 64. Konferenz der Datenschutzbeauftragten des 
Bundes und der Länder am 24./ 25. Oktober 2002 in T rier 
hat sich intensiv mit den Überlegungen zur Vorratsdaten- 
speicherung sowohl auf nationaler als auch auf europäischer 
Ebene beschäftigt und eine Entschließung „Systematische 
verdachtslose Datenspeicherung in der T elekommunikation 
und im Internet“ (s. Anlage 24) angenommen, in der die 


Bundesregierung aufgefordert wird, für mehr T ransparenz 
der Beratungen auf europäischer Regierungsebene einzutre- 
ten und insbesondere einer Re gelung zur flächendeckenden 
Vorratsdatenspeicherung nicht zuzustimmen. 

11.3.4 Neue Informationen zum Auskunfts- 
verfahren nach § 90 Telekommunikations- 
gesetz 

Bereits in meinem letzten Tätigkeitsbericht habe ich aus- 
führlich über das automatisierte Auskunftsverfahren gemäß 
§ 90 TKG berichtet (s. 18. TB Nr . 10.3). Von besonderem 
datenschutzrechtlichen Interesse war die Klage von Mobil- 
fünkanbietern gegen die Verpflichtung, den Namen, die An- 
schrift sowie die Rufnummer ihrer Kunden auch in den Fäl- 
len der so genannten Prepaid-Cards zu erheben und in das 
Auskunftssystem nach § 90 TKG einzustellen. Das Ge- 
richtsverfahren ist gegenwärtig in letzter Instanz beim Bun- 
desverwaltungsgericht anhängig. Mit einer Entscheidung 
wird noch im Jahr 2003 gerechnet. Nach einigen Anfangs- 
schwierigkeiten ist das automatisierte Auskunftsverfahren 
mittlerweile etabliert. T rotz der hohen Abfragezahlen von 
etwa 40 000 Auskunftsbegehren pro W oche zeigten Kon- 
trollen, dass es keine datenschutzrechtlich zu bemängelnden 
Auffälligkeiten gibt. 

11.3.4.1 Novellierung von § 90 Tele- 
kommunikationsgesetz 

Nachdem das V erwaltungsgericht Köln mit Urteil vom 
22. September 2000 (AZ.: 1 1 K 7710/98) festgestellt hat, 
dass die Anbieter von Mobilfunkdiensten nicht verpflichtet 
sind, bei V erträgen über so genannte Prepaid-Cards Be- 
standsdaten ihrer Kunden zu erheben (s. dazu 18. TB 
Nr. 10.3.1), ist von der Bundesregierung gegen das Urteil 
Berufung eingelegt worden. Gleichzeitig hat das Bundes- 
ministerium für Wirtschaft und Technologie begonnen, den 
§ 90 TKG - der die Auskunftsersuchen durch Sicherheits- 
behörden auch im automatisierten V erfahren regelt — zu 
überarbeiten. Hintergrund dafür war, die Befugnis der Straf- 
verfolgungs- und Sicherheitsbehörden, Informationen über 
Namen, Adresse sowie Rufnummer von Anschlussinhabern 
erhalten zu können, auch für den Bereich der Prepaid-Cards 
sicherzustellen. 

Nach Ansicht der Bundesregierung sollten die T elekommu- 
nikationsuntemehmen durch ei ne eindeutige Rechtsgrund- 
lage verpflichtet werden, künftig die Daten aller ihrer Kun- 
den - also auch derjenigen mit einem Prepaid-V ertrag - im 
automatisierten Abrufverfahren zur V erfügung zu stellen. 
Die Datenschutzbeauftragten des Bundes und der Länder 
haben die Entwürfe zur Erweiterung des § 90 TKG in einer 
gemeinsamen Entschließung vom 24. Mai 2002 kritisiert 
(s. Anlage 23). Nach den Vorschlägen der Bundesregierung 
wären die Unternehmen dazu gezwungen, Daten zu spei- 
chern, die für die Erbringung ihrer Dienste nicht erforder- 
lich sind. Es käme also zu einer datenschutzrechtlich be- 
denklichen Vorratsdatenspeicherung. Auch die im Entwurf 
neu aufgenommene Verpflichtung, den Personalausweis zu 
prüfen, würde zusätzliche Informationen liefern, die für den 
Vertragsabschluss nicht benötigt werden. Ein weiterer Kri- 
tikpunkt betraf die vor gesehene Möglichkeit, mit unvoll- 
ständigen oder ähnlichen Suchbegriffen bei der Abfrage der 
Kundendaten zu arbeiten. 
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Das Oberverwaltungsgericht Münster hat zwischenzeitlich 
über die Berufung entschieden und die Ansicht des V erwal- 
tungsgerichts Köln nicht best ätigt. Eine schnelle Neurege- 
lung des automatisierten Auskunftsverfahren ist deshalb zu- 
nächst zurückgesteht wo rden. Die Regelung wird im 
Rahmen der Novellierung de s TKG überarbeitet werden. 
Das Verfahren befindet sich zurzeit in der Revisionsinstanz 
beim Bundesverwaltungsgericht. 

11.3.4.2 Keine unzulässigen Abfragen 

Gemäß § 90 Abs. 4 TKG protokolliert die Regulierungsbe- 
hörde für Telekommunikation und Post für Zwecke der Da- 
tenschutzkontrolle jede Datenabfrage. Dabei werden alle 
Daten des Abrufs und der Antworten der T elekommunika- 
tionsnetzbetreiber festgehalten. W ie ich in meinem letzten 
Tätigkeitsbericht dargesteht habe, war mir eine ef fektive 
Datenschutzkontrolle aufgrund der technischen Gegeben- 
heiten zunächst nicht möglich (vgl. 18. TB Nr . 10.3.3). 
Mittlerweile konnten diese Sc hwierigkeiten nach einer Än- 
derung in der Datenbank überwunden werden. So werden 
ein so genannter Hashwert, der aus der abgefragten Telefon- 
nummer gebildet wird, und der Straßenname unverschlüs- 
selt gespeichert. W enn nun geprüft wird, ob in einem 
bestimmten Zeitraum eine An frage zu einer Person statt- 
gefunden hat, können die infrage kommenden Protokoll- 
einträge innerhalb weniger Minuten entschlüsselt werden, 
ln einem zweiten Schritt ka nn geprüft werden, ob tatsäch- 
lich eine Abfrage zu dieser Person vor genommen worden 
ist. 

Meinen Kontrollen lagen zum T eil Eingaben zugrunde, in 
denen sich Bürger mit einem Verdacht an mich gewandt hat- 
ten, anhand ihrer T elefonnummer sei ihre Adresse ermittelt 
worden. Darüber hinaus gab es Fälle, bei denen Polizei- 
dienststellen aufgrund interner Ermittlungen einen mög- 
lichen Missbrauch des V erfahrens befürchteten. Es konnte 
festgestellt werden, dass in keinem der geprüften Fälle eine 
Anfrage nach § 90 TKG gestellt wurde. Dabei konnte ich 
mich auch davon überzeugen, dass eine ef fektive Kontrolle 
des Verfahrens nun möglich ist. 

Zum Mengengerüst der Abfragen nach § 90 TKG habe ich 
festgestellt, dass im Jahr 2000 wöchentlich 1 5 000 bis 

20 000 Abfragen erfolgten. Diese Zahlen erhöhten sich im 
vergangenen Jahr auf ca. 25 000 bis 30 000 Anfragen pro 
Woche. Seit Ende des Jahres 2001 kann ein weiterer Anstieg 
der Abfragezahlen auf etwa 40 000 Fälle pro W oche beob- 
achtet werden. Ich werde diese Entwicklung verfolgen und 
zusammen mit der Regulierungs behörde für Telekommuni- 
kation und Post kritisch begleiten. 

11.4 Missbrauch von 0190-Nummern 

Würde man eine Rangliste von Büigereingaben zu bestimm- 
ten Themen erstellen, wären die Beschwerden über den 
Missbrauch von so genannten Mehrwertdiensterufnum- 
mern sowie die damit ver bundenen Belästigungen und Be- 
trügereien mit an vorderster Stelle zu finden. Die Bandbreite 
der Missbrauchsfälle ist groß . Zu erwähnen ist zum einen 
die zunehmende Nutzung von T elekommunikationsan- 
schlüssen für Werbezwecke mittels unverlangter Zusendung 
von Telefax-, SMS-Nachrichten oder E-Mails (s. hierzu 
auch Nr. 10.9), oft verbunden mit der Auf forderung, eine 
0190-Nummer anzurufen. Dies führt nicht nur zu einer 


enormen Belästigung der Anschlussinhaber, sondern verur- 
sacht bei Faxsendungen auch zum Teil hohe Kosten für To- 
ner und Papier. Die Methoden beim Missbrauch von Mehr- 
wertdiensterufnummem sind aber auch noch dreister: So 
werden beispielsweise Besitzer von Handys unter V ortäu- 
schung eines Bekanntschaftsverhältnisses oder eines Ge- 
winns per SMS aufgefordert, eine kostspielige 01 90-Ruf- 
nummer zurückzurufen. Schließlich werden in erheblichem 
Umfang auch Intemetnutzer mittels Dialer-Programmen be- 
trogen, die zur Herstellung einer Intemetverbindung und zur 
Abrechnung von im Internet angebotenen Dienstleistungen 
dienen. Diese Dialer sind meistens so programmiert, dass 
der Aufbau einer kostenpflichtigen Internetseite über eine 
0 1 90-Rufnummer oder eine Auslandsrufnummer erfolgt, 
was der Nutzer nicht immer erkennen kann. Es treten auch 
Fälle auf, in denen Dialer-Software vom Nutzer sogar unbe- 
merkt auf den PC herunter geladen worden ist. Die böse 
Überraschung kommt dann bei der nächsten T elefonrech- 
nung. 

Alle Fälle des Missbrauchs von Mehrwertdiensterufnum- 
mem haben eines gemeinsam: Es handelt sich weniger um 
ein Datenschutz- als vielmehr um ein Verbraucherschutzpro- 
blem. Den Bürgern, die sich an mich gewandt hatten, konnte 
ich daher im Rahmen meiner Zuständigkeit als Datenschutz- 
aufsichtsbehörde in der Regel nur wenig weiterhelfen. T eil- 
weise wurden zwar auch Verstöße gegen datenschutzrechtli- 
che Bestimmungen vor getragen. So wurde in den Fällen 
unverlangter elektronischer W erbung beispielsweise die 
Vermutung geäußert, der T elekommunikationsnetzbetreiber 
habe die Rufnummer ohne die erforderliche Einwilligung an 
Dritte zu Werbezwecken weitergegeben. Anhaltspunkte für 
eine derartige Datenschutzverletzung haben sich aber in kei- 
nem einzigen Fall ergeben. Die Rufnummern waren entwe- 
der in Telefonverzeichnissen veröffentlicht und damit für je- 
dermann zugänglich oder sie wurden zum T eil durch die 
nicht unterdrückte Rufnummemübermittlung bekannt. Bei 
meinen Recherchen bin ich auf eine weitere mögliche Erklä- 
rung gestoßen, wie die Anbieter von W erbung an die Ruf- 
nummern gelangen. Häufig werden Rufnummern nämlich 
beliebig nach dem Zufallsprinzip generiert, ohne dass der 
Anschlussinhaber bekannt ist. Beim V ersenden elektroni- 
scher Werbung wird dann in Kauf genommen, dass nicht 
jede generierte Rufnummer vergeben ist. 

Einen gewissen datenschutzr echtlichen Bezug hatte der 
Missbrauch von Mehrwertdiensterufnummern bzw . dessen 
Bekämpfung aber in anderem Zusammenhang: 

Die Frage, wie man sich gegen unerwünschte elektronische 
Werbung wehren kann, lässt sich rechtlich leicht beant- 
worten. Nach der Rechtsprechung zum Gesetz gegen den 
unlauteren Wettbewerb ist es unzulässig, Werbung über Te- 
lekommunikationsanschlüsse zu versenden, wenn zwischen 
Absender und Empfänger keine Geschäftsbeziehung be- 
steht. Der Betroffene kann den Absender daher auf Unter- 
lassung verklagen und ggf. Schadensersatz in Anspruch 
nehmen. Dies gestaltete sich allerdings nicht immer einfach, 
denn es traten Schwierigkeiten bei dem V ersuch auf, den 
Inhaber der 01 90-Rufnummer zu ermitteln. Diese Rufnum- 
mern werden von der Regulierungsbehörde für Telekommu- 
nikation und Post (RegTP) in 1000er Blöcken Netzbetrei- 
bem zugeteilt, die sie in der Regel aber nicht selbst nutzen, 
sondern Serviceprovidem oder anderen Diensteanbietem 
zur Vermarktung überlassen. Die RegTP kann daher zwar 
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feststellen, welchem Netzbetreiber die Mehrwertdiensteruf- 
nummer zugeteilt worden ist. Sie kennt jedoch nicht den 
Endnutzer. Bei der Suche nach dem Absender unverlangter 
elektronischer Werbung musste sich der Betroffene daher an 
den Netzbetreiber und erforderlichenfalls an weitere Servi- 
ceprovider wenden. Diese sahen sich aber aufgrund einer 
datenschutzrechtlichen Bestimmung an einer Auskunft ge- 
hindert. Im Hinblick auf das so genannte Verbot der Invers- 
suche ist nämlich die Auskunftserteilung über Namen und 
andere Daten von Kunden, von denen nur die Rufnummer 
bekannt ist, unzulässig. Der Gesetzgeber hat aus diesem 
Grund zum Schutz der Betrof fenen im Unterlassungskla- 
gengesetz (UKlaG) zusätzlich zu dem Auskunftsanspruch 
für Verbraucherschutzverbände nach § 1 3 UKlaG auch für 
jeden Einzelnen einen Anspruch gegenüber T elekommuni- 
kationsdiensteanbietem auf Auskunft über Namen und la- 
dungsfähige Anschrift der am T elekommunikationsverkehr 
beteiligten Personen geschaf fen, soweit Unterlassungsan- 
sprüche wegen unverlangter Werbung, der Lieferung unbe- 
stellter Sachen und der Erbr ingung unbestellter Leistungen 
geltend gemacht werden sollen (§ 13a UKlaG). T rotz an- 
fänglicher datenschutzrechtlicher Bedenken gegen einen 
solchen weitgehenden Auskunftsanspruch habe ich mich im 
Gesetzgebungsverfahren unter Berücksichtigung des hohen 
Verbraucherschutzinteresses letztlich nicht gegen diese Re- 
gelung gestellt. 

Auch die weiteren Bemühungen der Bundesregierung zur 
Stärkung der Verbraucherrechte habe ich unterstützt. Ende 

2002 war ich an der Vorbereitung des Entwurfs eines Geset- 
zes zur Bekämpfung des Missbrauchs von Mehrwertdiens- 
terufnummem beteiligt, der u. a. die Einrichtung einer 
Datenbank bei der RegTP für alle Mehrwertdiensterufnum- 
mern vorsieht. Die Datenbank, aus der auch ersichtlich sein 
soll, an wen die einzelne Rufnummer weitergegeben wor- 
den ist, soll allgemein zugänglich sein und im Internet ver- 
öffentlicht werden. Um die Feststellung der Mehrwertdiens- 
terufnummer für die Betrof fenen zu erleichtern, soll diese 
künftig vom Diensteanbieter stets ungekürzt gespeichert 
werden. Gegen eine solche Lockerung des Grundsatzes, 
dass die Zielrufnummern als Verbindungsdaten in der Regel 
um die letzten drei Ziffern zu kürzen sind, sofern der Kunde 
nichts anderes beantragt, habe ich nach gründlicher Interes- 
senabwägung keine Einwände erhoben. Mit dem In-Kraft- 
Treten des Gesetzes ist voraussichtlich Mitte des Jahres 

2003 zu rechnen. 

11.5 Abgrenzung der Ordnungs- 
widrigkeitstatbestände zwischen 
Telekommunikations-Datenschutz- 
verordnung (TDSV) und BDSG 

Ein Kunde, der entgegen seinem W unsch von einem T ele- 
kommunikationsdiensteanbieter in ein öf fentliches Kun- 
denverzeichnis eingetragen worden war (vgl. zu dieser Pro- 
blematik auch Nr. 11.13), hatte bei einer Polizeidienststelle 
Anzeige erstattet, weil er in dem Verstoß gegen § 13 Abs. 2 
TDSV den T atbestand einer Ordnungswidrigkeit erfüllt 
sah. 

Da bußgeldbewehrte Datenschutzverletzungen sowohl im 
BDSG als auch speziell für den Bereich der T elekommuni- 
kation im T elekommunikationsgesetz (TKG) bzw . in der 
TDSV aufgeführt sind, stellte sich die Frage nach der Ab- 
grenzung zwischen diesen Vorschriften bzw. nach deren An- 


wendbarkeit. Während der auf der Grundlage von § 96 Nr 9 
TKG Ende 2000 neu in die TDSV aufgenommene Bußgeld- 
katalog (vgl. § 17 TDSV) für den Fall einer unzulässigen 
Veröffentlichung in Kundenverzeichnissen keine Sanktio- 
nen androht, ließe sich dieser Sachverhalt dagegen unter 
§ 43 Abs. 2 Nr. 1 BDSG (unbefugte Erhebung oder V erar- 
beitung personenbezogener Daten, die nicht allgemein zu- 
gänglich sind) subsumieren. 

Gegenüber der Regulierungsbehörde für T elekommunika- 
tion und Post (RegTP), die nach § 96 Abs. 2 TKG zustän- 
dige Verwaltungsbehörde für die Verfolgung von Ordnungs- 
widrigkeiten im T elekommunikationsbereich ist, habe ich 
die Auffassung vertreten, dass die Ordnungswidrigkeitstat- 
bestände im TKG und in der TDSV abschließend geregelt 
sind. Soweit die Absicht bestanden hätte, einen V erstoß ge- 
gen § 13 Abs. 2 TDSV mit einem Bußgeld zu bedrohen, 
hätte der Verordnungsgeber diesen Sachverhalt in den Kata- 
log nach § 17 TDSV aufnehmen müssen. Da dies nicht ge- 
schehen sei, bestehe keine Möglichkeit, auf die allgemeinen 
Bußgeldvorschriften des BDSG zurückzugreifen. Die 
RegTP war ebenfalls der Meinung, dass die spezielleren 
Vorschriften der TDSV die Anwendbarkeit der allgemeinen 
Ordnungswidrigkeitstatbestände des BDSG für den Bereich 
des telekommunikationsspezifischen Datenschutzes aus- 
schließen, und hat das eingeleitete Ordnungswidrigkeitsver- 
fahren eingestellt. 

Diese gemeinsame Auffassung wird im Übrigen auch durch 
die amtliche Begründung des V erordnungsgebers zu § 17 
TDSV gestützt, in der das Erfordernis der Aufnahme eige- 
ner Bußgeldtatbestände damit begründet wird, dass die 
BDSG-Regelungen im T elekommunikationsbereich nicht 
gelten. Eine Anwendung der Vorschriften des BDSG auf Te- 
lekommunikationsdiensteanbieter kommt m. E. nur in Be- 
tracht, wenn es sich außerhalb des Anwendungsbereichs 
nach § 1 TDSV um Fragen handelt, die nicht telekommuni- 
kationsspezifische Regelungen betreffen, wie z. B. die Da- 
tenübermittlung an die SCHUF A oder andere W irtschafts- 
auskunfteien. 

11.6 Datenschutzrechtliche Anforderungen 
an Location Based Services 

Im Mobilfunkbereich werden neue Dienstleistungen ange- 
boten, die dem Nutzer in Abhängigkeit von seinem Standort 
zur Verfügung gestellt werde n. Diese kann man kurz als 
standortbezogene Dienste bezeichnen, oder mit der üblichen 
englischen Bezeichnung Location Based Services (LBS). 
Die Anwendungsmöglichkeiten sind vielfältig: Hinweise 
auf in der Nähe gelegene Restaurants oder Kinos, Verkehrs- 
informationen, Einkaufshilfen, Suchfunktionen für Freunde. 
Diese Dienste können in unterschiedlichen Formen angebo- 
ten werden. Beim „Pull Dienst“ ruft der Nutzer den Dienst 
während der bestehenden Verbindung aktiv auf (z. B. W et- 
terdienst, Staumeldung, Nachrichten). Bei „Push Diensten“ 
abonniert der Nutzer einen oder mehrere Dienste, die ihm 
dann an bestimmten Punkten durch das Unternehmen zur 
Verfügung gestellt werden. „T racking Dienste“ speichern 
jeden Wechsel der Mobilfunkz eile und der Kunde erhält 
dann eine entsprechende Mitteilung über den Aufenthaltsort 
des Teilnehmers (z. B. Flottensteuerung bei Transportunter- 
nehmen). Für das so genannte Routing ist keine genaue Lo- 
kalisierung notwendig. Bei Anruf einer überregionalen Ruf- 
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nummer wird der Anrufer an den für den Ort zuständigen 
Ansprechpartner weitergeleitet (z. B. Telefonseelsorge). 

Für die Nutzung solcher Dienste stehen verschiedene, unter- 
schiedlich genaue Lokalis ierungstechniken zur Verfügung, 
auf die hier nicht detailliert eingegangen werden soll. Bei 
der Ermittlung der Funkzelle, in der der Kunde sich befin- 
det, wird z. B. nur eine Genauigkeit zwischen 50 m und 
10 km erreicht. Eine genauere Lokalisierung ist nur durch 
Kombination mit anderen T echniken und V erfahren mög- 
lich. Die genaueste Methode ist das Global Positioning Sys- 
tem, bei dem die Ortung durch ein Satellitensystem erfolgt 
(auf ca. 10 m genau). 

Die neuen Dienstleistungen br ingen aus Sicht des Daten- 
schutzes Risiken mit sich. Es besteht die Gefahr des gläser- 
nen Mobilfunknutzers. So können Bewegungsprofile erstellt 
werden. Auch ist es techni sch möglich, den persönlichen 
Lebensstil des Nutzers zu speichern und dessen Kaufverhal- 
ten abzufragen (Nutzerprofile). Außerdem würde ein ent- 
sprechender Datenpool von besonderem Interesse für die 
Strafverfolgungs- und Sicherheitsbehörden sein. Im deut- 
schen Recht gibt es noch keine spezielle Rechtsgrundlage 
für die Erhebung der Lokalisierungsdaten. Deshalb ist die 
Einwilligung des Betrof fenen notwendige V oraussetzung 
für die Übermittlung und Nutzung von Standoitdaten. 
Damit verbunden ist eine vorhe rige und ausreichende Un- 
terrichtung des Nutzers über die grundlegenden V erarbei- 
tungstatbestände der Daten. Nur eine informierte Einwil- 
ligung des Nutzers legitimiert die V erarbeitung seiner 
Standortdaten. Dies kann be im Abschluss eines schrift- 
lichen Vertrages unproblematisch gewährleistet werden. 

Im Mobilfunk wird man aber im Regelfall die Form der 
elektronischen Einwilligung mittels Handy wählen, deren 
Voraussetzungen in § 89 Abs. 10 T elekommunikationsge- 
setz, § 4 Telekommunkations-Datenschutzverordnung gere- 
gelt sind. Allerdings ist danach eine Rücknahme dieser Ein- 
willigung innerhalb einer W oche zulässig, sodass auch der 
Dienst theoretisch erst nach einer Woche angeboten werden 
könnte. Ein Angebot von LBS in dieser Form ist weder für 
Kunden noch Anbieter interessant. 

Auch von meiner Seite wurde dieses Problem gesehen und 
mit der Regulierungsbehörde für T elekommunikation und 
Post und dem BMW i diskutiert. Es besteht Einvernehmen, 
dass die gesetzlich vor gesehene Rücknahmemöglichkeit 
nicht zu einem Aus für diese Dienste führen soll. Aus die- 
sem Grund soll bis zu einer entsprechenden Regelung im 
deutschen Recht in diesem Punkt auf aufsichtsbehördliche 
Maßnahmen verzichtet werden. Voraussetzung ist dabei na- 
türlich, dass die angebotenen V erfahren ansonsten daten- 
schutzgerecht ausgestaltet sind. 

Die europäische Datenschutzrichtlinie für elektronische 
Kommunikation (Richtlinie 2002/58/EG vom 12. Juli 2002, 
s. Nr. 11.1.1) enthält in Artikel 9 eine entsprechende Rege- 
lung. Danach sind eine Einwilligung und eine vorherige 
Mitteilung erforderlich, für welche Zwecke und wie lange 
Daten verarbeitet werden und ob eine Weitergabe an Dritte 
erfolgt. Auch eine Rücknahme der Einwilligung für die Zu- 
kunft und eine zeitweise Un tersagung der Übertragung der 
Daten muss auf einfache Weise und jederzeit möglich sein. 

Diese Vorgaben sollten möglichst umfassend in Deutsch- 
land umgesetzt werden. Dabei muss genau geprüft werden, 
welche Voraussetzungen man an die Einwilligung stellt. Ge- 


regelt werden sollte auch die Frage, ob jedes Mal bei Nut- 
zung eines Dienstes eine Einw illigung erforderlich ist, oder 
ob für einen bestimmten Dien st oder eine Dienstegruppe 
eine einmalige Einwilligung ausreicht. Diese Lösung wäre 
denkbar. Datenschutzrechtlich unzulässig wäre es aller- 
dings, wenn der Nutzer mit einer einzigen Erklärung seine 
Einwilligung für alle denkbaren Dienste abgeben könnte. 
Wegen der teilweise sehr unterschiedlichen Ausgestaltung 
wäre es für den Kunden nicht möglich, im Voraus alle mög- 
lichen Alternativen zu bedenken und bei seiner Entschei- 
dung zu berücksichtigen. 

11.7 Datenschutzaspekte bei 
der Handyreparatur 

Auf die mit der Reparatur eines Handys verbundenen Da- 
tenschutzprobleme habe ich bereits im 18. TB (Nr . 10.6.2) 
aufmerksam gemacht. Die dort wieder gegebenen Empfeh- 
lungen hinsichtlich der im Gerät gespeicherten Daten gelten 
unverändert fort. Hatte ich damals noch auf die Zustän- 
digkeit der Aufsichtsbehörden für den nicht öf fentlichen 
Bereich verwiesen, ergab sich im Berichtszeitraum die Not- 
wendigkeit, die Problematik im Rahmen meiner Daten- 
schutzaufsicht mit den Mobilf unkanbietem zu erörtern, die 
häufig selbst Reparaturaufträge ihrer Kunden entgegenneh- 
men und ausführen. Dabei habe ich festgestellt, dass zwar 
überwiegend das so genannte Austauschverfahren ange- 
wandt wird. Die Kunden können jedoch auch eine Indivi- 
dualreparatur beauftragen, bei der sie ihr eigenes Handy 
zurückerhalten. Um diese Wahlmöglichkeit ausüben zu kön- 
nen, müssen die Kunden hierüber informiert werden. Ich 
habe die Mobilfunkanbieter daher aufgefordert, die Auf- 
tragsvordrucke entsprechend zu gestalten und ihre Kunden 
auch darüber aufzuklären, dass sie im Falle des Austausch- 
verfahrens das abgegebene Handy, auf dem möglicherweise 
schützenswerte persönliche Daten gespeichert sind, nicht 
mehr zurückerhalten. W as die von mir vor Erteilung des 
Reparaturauftrags empfohlene Löschung der im Handy ge- 
speicherten Daten angeht, kann natürlich über eine Eigen- 
verantwortung der Kunden nicht hinweg gesehen werden. 
Gleichwohl erwarte ich von den T elekommunikations- 
diensteanbietern, dass sie ihre Kunden auch umfassend in- 
formieren, wo ihre Kommunikationsdaten gespeichert sind 
und wie sie diese selbst löschen können. Unabhängig davon 
halte ich es für geboten, beim Austauschverfahren sicher- 
zustellen, dass die gespeicherten Daten auch ohne ausdrück- 
lichen Auftrag des Kunden vom Mobilfunkanbieter oder 
einem beauftragten Serviceuntemehmen auf jeden Fall ge- 
löscht werden. Nach meiner Einschätzung wird dies bereits 
so praktiziert. Damit ist gewährleistet, dass im W ege des 
Handyaustausches keine personenbezogenen Daten an 
Dritte gelangen. 

11.8 Mithörschutz bei öffentlichen 
Telefonstellen 

Noch gibt es die vertrauten gelben T elefonzellen, auch wenn 
die Bedeutung öf fentlicher Femsprecheinrichtungen ange- 
sichts der ständig steigenden Anzahl von Mobilfünkanschlüs- 
sen immer mehr abnimmt. Die Deutsche Telekom AG ist nach 
den Vorschriften des Telekommunikationsgesetzes und der Te- 
lekommunikations-Universaldienstleistungsverordnung ver- 
pflichtet, solche öffentlichen Telefonstellen entsprechend dem 
allgemeinen Bedarf flächendeckend bereitzustellen, \brgaben 
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in Bezug auf die Ausstattung enthalten die Vorschriften nicht, 
ln jüngster Zeit konnte man beobachten, dass geschlossene Te- 
lefonzellen zunehmend durch andere Einrichtungen wie Tele- 
fonhauben oderTelestationen ersetzt werden. Einige Bür ger 
haben sich bei mir darüber besc hwert, ein Teil der neuen öf- 
fentlichen Telefonstellen - vor allem die Telefonsäulen - wür- 
den keinen Schutz vor W etter und insbesondere vor uner- 
wünschten Mithörem bieten. 

Aus den zum Schutz des Femmeldegeheimnisses erlassenen 
Vorschriften lässt sich zwar keine V erpflichtung für einen 
Telekommunikationsdiensteanbieter herleiten, nur geschlos- 
sene Telefonzellen, die das Mithören von T elefongesprä- 
chen erschweren oder gar verhindern, bereitzustehen. 
Gleichwohl habe ich Verständnis für das Anliegen von Bür- 
gern, die trotz des erreicht en hohen Grades der V ersorgung 
mit Festnetz- und Mobilfunkanschlüssen auf öffentliche Te- 
lefonstellen angewiesen sind und nicht möchten, dass ihre 
Gespräche von Dritten mitgehört werden. Aus diesem 
Grund habe ich die bei mir eingegangenen Beschwerden 
zum Anlass genommen, die Deutsche T elekom AG zu bit- 
ten, bei der Bereitstellung öf fentlicher Telefonstehen ein 
Mindestmaß an Schutzvorrich tungen vorzusehen, die das 
Mithören wenigstens erschweren. Das Unternehmen hat mir 
zugesichert, das Konzept zur Aufstellung von öf fentlichen 
Telefonstehen berücksichtige neben Kosten- und Genehmi- 
gungsgründen auch datenschutzr echtliche Aspekte, ln der 
Planung sei vorgesehen, die kritisierten Telestationen regel- 
mäßig mit einem Glasdach und einem Seitenteil zu verse- 
hen. Bereits errichtete T elestationen, bei denen diese 
Ausstattung fehlt, würden nachgerüstet. Bei Mehrfach- 
standorten sei ein Mindestabstand von etwa einem Meter 
vorgesehen. Unter Datenschutzgesichtspunkten werde ins- 
besondere auch die Möglichkeit angeboten, die Anzeige der 
gewählten Rufnummer im Display zu unterdrücken, damit 
vorbeigehende Passanten die Rufnummer nicht erkennen 
können. 

11.9 Inkassoverfahren durch Dritte 

Viele Telekommunikationsdiensteanbieter führen bei Zah- 
lungsverzug ihrer Kunden das außer gerichtliche Mahn- 
verfahren nicht selbst durch. Sie schalten hierzu und für die 
anschließende gerichtliche Beitreibung häufig Inkassounter- 
nehmen ein. Die Rechtsgrundlag e für die dazu notwendige 
Übermittlung von Bestands- und V erbindungsdaten an 
Dritte findet sich in § 7 Abs. 1 Satz 2 und 3 T elekommuni- 
kations-Datenschutzverordnung (TDSV). Voraussetzung ist, 
dass der Dritte vertraglich zur Einhaltung des Fernmeldege- 
heimnisses sowie der einschlä gigen datenschutzrechtlichen 
Bestimmungen der TDSV verpflichtet worden ist. 

Die Möglichkeit, den Forderungseinzug einem Inkassobüro 
zu übertragen, hat im Jahr 2001 auch für V erbindungsnetz- 
betreiber, über die im so ge nannten offenen Call-by-Call- 
Verfahren Telefongespräche geführt werden, an Bedeutung 
zugenommen. Der Anschlussnet zbetreiber, bei dem der 
Kunde seinen Telefonanschluss hat, ist zwar nach § 1 5 Tele- 
kommunikations-Kundenschutzverordnung nach wie vor 
verpflichtet, seinen Kunden eine Gesamtrechnung mit den 
Entgelten aller in Anspruch genommenen Diensteanbieter 
zu erstellen und geleistete Zahlungen anteilig an die anderen 
Unternehmen weiterzuleiten. Die Deutsche Telekom AG als 
größter Anschlussnetzbetreiber hat jedoch seit dem 1 . Juli 
2001 unter Aufgabe ihrer bisherigen Praxis das gesamte Re- 


klamations- und Mahnwesen an die Call-by-Call-Anbieter 
abgegeben. Diese müssen jetzt nicht nur selbst das Mahn- 
verfahren durchführen, sondern sind auch Ansprechpartner 
für Kundenbeschwerden, Rechnungsreklamationen und 
Rückfragen zu einzelnen Rechnungspositionen. Diese neue 
Situation hat die Call-by-Call- Anbieter bewogen, aus wirt- 
schaftlichen Gründen ein externes Unternehmen mit dem 
Mahnverfahren und dem Forderungseinzug zu beauftragen. 
Die oftmals sehr geringen Re chnungsbeträge, die bei Call- 
by-Call-Gesprächen anfallen, können von den einzelnen 
Anbietern nämlich kaum koste ndeckend beigetrieben wer- 
den. Auf dem Telekommunikationsmarkt wurden zu diesem 
Zweck Inkassountemehmen gegründet, die gleich mit meh- 
reren Call-by-Call-Anbietern Zusammenarbeiten und durch 
die Bündelung der Rechnungsbeträge zu einem ef fizienten 
Inkassoverfahren beitragen. Ihnen wurde nicht nur das 
Mahnverfahren, sondern darüber hinaus auch das gesamte 
Beschwerdemanagement übertragen. 

Eines dieser Unternehmen hat sich im Bewusstsein der er- 
forderlichen Sensibilität bei der Verarbeitung personenbezo- 
gener Daten gerade im Bereich des außer gerichtlichen und 
gerichtlichen Mahnverfahrens an mich gewandt und um 
präventive datenschutzrechtliche Beratung gebeten. Zu die- 
sem Zweck wurde mir das Betriebskonzept und ein hierzu 
eingeholtes Rechtsgutachten eines Experten für T elekom- 
munikationsrecht vorgelegt. In einem Gespräch mit V ertre- 
tem des Unternehmens und dem sachverständigen Gutach- 
ter wurden die datenschutzrechtlichen Fragestellungen 
einvernehmlich erörtert. 

Gegenstand der Erörterungen war auch die im V orfeld zu 
klärende Frage, wer hier für die Kontrolle des Datenschut- 
zes überhaupt zuständig ist. Da das Unternehmen selbst 
nicht Telekommunikationsdiensteanbieter im Sinne des T e- 
lekommunikationsgesetzes (TKG) und der TDSV ist, war 
zu prüfen, ob nach § 91 Abs. 4 TKG von meiner Zuständig- 
keit auszugehen ist oder die Datenschutzkontrolle gemäß 
§ 38 BDSG in die Kompetenz der Aufsichtsbehörde für den 
Datenschutz im nicht öf fentlichen Bereich fällt. Ich habe 
hierzu das Bundesministerium für Wirtschaft und Technolo- 
gie sowie die Regulierungsbehörde für Telekommunikation 
und Post um Stellungnahme ge beten. Auch in der Arbeits- 
gruppe „Telekommunikation, Tele- und Mediendienste“ des 
Düsseldorfer Kreises als oberstes Koordinierungsgremium 
der obersten Aufsichtbehörden für den Datenschutz im nicht 
öffentlichen Bereich wurde das Problem beraten. Nach ein- 
gehender Prüfung aller Beteiligten wurde meine Kontrollzu- 
ständigkeit für das Factor ing von T elekommunikations- 
dienstleistungen als Annex zu meinen Befugnissen nach 
§ 91 Abs. 4 TKG anerkannt und die Anwendbarkeit dieser 
Vorschrift bejaht. Ausschlaggebend war die Überlegung, 
dass das Unternehmen zwar selbst keine T elekommunikati- 
onsdienste anbietet, jedoch eine über ein bloßes Inkasso 
hinausgehende telekommunikationsspezifische Tätigkeit 
ausübt und an der Erbringung geschäftsmäßiger T elekom- 
munikationsdienste mitwirkt. Es verarbeitet und nutzt im 
Zuge des Inkasso- und Mahnverfahrens sowie im Rahmen 
des Beschwerdemanagements die zu diesem Zweck erhobe- 
nen personenbezogenen Daten. Im Übrigen war zu berück- 
sichtigen, dass die V orschrift des § 91 Abs. 4 TKG ihrem 
Sinn und Zweck nach eine Zersplitterung der datenschutz- 
rechtlichen Kontrollzuständigkeit im Bereich der T elekom- 
munikation gerade vermeiden will. 
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11.10 Datenschutzrechtlich relevante 
Serviceleistungen 

Die heutzutage von den T elekommunikationsuntemehmen 
angebotenen Serviceleistungen fuhren in der Regel zu einer 
besonderen Nutzung von V erbindungsdaten und berühren 
damit unmittelbar die datenschutzrechtlichen Interessen der 
von diesen Leistungen Betrof fenen. Dabei kann unterstellt 
werden, dass sie für die Nutzer einen Mehrwert darstellen, 
denn sonst würden sie von den Kunden der Unternehmen 
nicht nachgefragt werden. Gleichwohl ist dies nur die eine 
Seite der Medaille. Dies gilt beispielsweise für die Systeme, 
mit denen sich der Aufenthaltsort Dritter gegen deren W il- 
len ausspähen lässt, ln derartigen Fällen werde ich von be- 
troffenen Bürgern, aber auch - etwa im Vorfeld der Einfüh- 
rung einer neuen Servicelei stung — von den Unternehmen 
selbst angesprochen und um Rat gefragt. 

11.10.1 Die „Klingelmännchen und -mäuschen“ 
von heute 

Im letzten Tätigkeitsbericht habe ich mich bereits zu dem 
neuen Dienst CallGuard geäußert, der Callcenter vor 
Scherz- oder Störanrufem schützen soll. Leider ist die Zahl 
der so genannten „Junk Calls“ nach wie vor erschreckend 
hoch, wobei solche Anrufe Nerven der Mitarbeiter kosten, 
Anrufe von echten Kunden blockieren und das betrof fene 
Unternehmen auch finanziell schädigen. Früher hat man als 
„Klingelmännchen oder -mäuschen“ aus Spaß an Haustüren 
geklingelt, heute scheint vor allem unter Jugendlichen das 
„Anklingeln“ von kostenlosen oder kostenreduzierten Ser- 
vice-Rufnummern (0800- und 0180-Nummem) als Zeitver- 
treib verbreitet zu sein, da es den Anrufer nichts oder nur 
wenig kostet. 

Die Telekommunikationsuntemehmen, die sich dieser Pro- 
blematik seit einiger Zeit angenommen haben, haben inzwi- 
schen die so genannten Blae klist-Funktionen weiterent- 
wickelt. Bei CallGuard erfolgt die Aufnahme in eine 
Sperrliste bereits dann, wenn das Gespräch eine bestimmte 
Dauer von beispielsweise wenigen Sekunden unterschreitet 
(Anrufer, die einfach auflegen nachdem die V erbindung zu- 
stande gekommen ist). Dies hat den Nachteil, dass auch An- 
rufer auf die Sperrliste kommen können, die versehentlich 
eine solche Servicerufnummer gewählt haben. Bei einem 
weiteren inzwischen angebotenen Programm erfolgt die 
Aufnahme in die Sperrliste auf V eranlassung des entspre- 
chenden Callcenter-Mitarbeiters, z. B. durch Drücken einer 
bestimmten Tastenkombination während des Gespräches. 
Versucht nun ein solcher Anrufer die Service-Rufnummer 
erneut zu erreichen, werden die Daten gegeneinander abge- 
glichen. Stimmen die Rufnummern überein, wird der Anruf 
abgewiesen und der Anrufer erhält einen entsprechenden 
Hinweis. 

Nach meiner Auffassung handelt es sich bei der Speiche- 
rung der Daten in der Sperrliste und dem Datenabgleich um 
die Verarbeitung personenbezogener Daten im Auftrag des 
entsprechenden Kunden im Sinne des § 11 BDSG. Daten- 
herr und für die Einhaltung der maßgeblichen Rechtsvor- 
schriften Verantwortlicher wäre somit der Kunde (z. B. das 
Callcenter eines Unternehmens) und nicht der T elekommu- 
nikationsdiensteanbieter. Damit richtet sich die Datenverar- 
beitung nach allgemeinem Datenschutzrecht. Einschlägig ist 
insoweit § 28 BDSG. Insofern bleibe ich bei meiner bereits 


im 18. TB geäußerten Auffassung, wonach die Speicherung 
der Rufnummer von Scherz- oder Störanrufem in den Sperr - 
listen nur für eine begrenzte Frist erfolgen darf. Anderen- 
falls wären die Interessen der Betroffenen nicht angemessen 
berücksichtigt. In Abstimmung mit der Regulierungsbe- 
hörde für Telekommunikation und Post und aufgrund schon 
vorliegender Erfahrungen halte ich eine Dauer von maximal 
einer Woche für angemessen und verhältnismäßig. Bereits 
diese Sperrfrist führt zu einer deutlichen Reduzierung von 
Scherzanrufen. Wichtig sind in diesem Zusammenhang 
auch eindeutige Regelungen über das V erfahrensmanage- 
ment. So sollte der Zugrif f auf solche Dateien nur für we- 
nige besonders berechtigte Personen wie Systemadministra- 
toren freigeschaltet sein. 

Da es sich um ein spezielles Problem in der T elekommuni- 
kation handelt, wäre eine entsprechende bereichsspezifische 
Datenschutzregelung für die Datenverarbeitung wünschens- 
wert. Ich würde es begrüßen, wenn im Zuge der bevorste- 
henden Novellierung des Telekommunikationsgesetzes eine 
entsprechende Rechtsgrundlage geschaffen wird. 

11.10.2 Voreinstellung der Rufnummern- 
übermittlung 

ln meinem vorletzten Tätigkeitsbericht habe ich mich be- 
reits ausführlich zum Thema der Rufnummemübermittlung 
geäußert (17. TB Nr. 10.2.8). Damals ging es mir in erster 
Linie um eine Infonnation über die damit zusammenhän- 
genden datenschutzrechtlichen Anforderungen und Pflich- 
ten zur Information der Kunden durch die T elekommunika- 
tionsunternehmen. 

Inzwischen werden die Kunden in der Regel ausreichend in- 
formiert. Es gibt in Einzelfällen aber immer noch Defizite. 
So habe ich z. B. auf einem Formular für die Beantragung 
eines ISDN-Anschlusses kein e Infonnationen über die 
bestehenden Wahlmöglichkeiten des Kunden zur Anzeige 
seiner Rufnummer bei Anruf (CLIP - calling line identifica- 
tion presentation) oder zur Unterdrückung der Rufnummem- 
anzeige (CL1R — calling line identification restriction) 
vorgefunden. Es gab lediglich einen Hinweis in der Geräte- 
beschreibung, was nicht ausreichend ist. Die erforderlichen 
Informationen werden inzwischen auf dem entsprechenden 
Antragsformular selbst gegeben. 

Ferner habe ich festgestellt, dass bei Mobilfunkgeräten, ins- 
besondere bei Prepaid-Produkten, die Standardeinstellungen 
(default setting) der Handys eine permanente Rufnummern- 
übermittlung vorsehen, was nach meiner Auf fassung — bei 
enger Auslegung - nicht im Ei nklang mit den Vorschriften 
der Telekommunikations-Datenschutzverordnung (TDSV) 
steht. Da die überwiegende Mehrheit der Mobilfunkkunden 
keinen Eintrag ins öf fentliche Kommunikationsverzeichnis 
beantragt, müsste der Kunde nach § 1 1 Abs. 3 TDSV die 

Übermittlung seiner Rufnummer ausdrücklich wünschen, 
also eine Willenserklärung abgeben. Allerdings halte ich es 
auch für ausreichend, wenn der Mobilfunkanbieter bei V er- 
tragsabschluss seine Kunden deutlich auf die vorhandene 
Standardeinstellung hinweist und über die Möglichkeit zur 
Änderung dieser Voreinstellung informiert. 

11.10.3 Rückruf bei Nichtmelden 

Der Einzug der Digitaltechnik im Bereich der T elekommu- 
nikationsanlagen brachte nicht nur eine Fülle an nützlichen 
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Funktionen, sondern auch fast unbemerkt eine veränderte 
Gefährdungslage für das Fernmeldegeheimnis. Die denkba- 
ren Angriffe bestehen auch in der missbräuchlichen Nut- 
zung vorhandener Funktionalit äten. Die V erhinderung des 
Missbrauchs dieser durchaus gewünschten und nützlichen 
Funktionalitäten bedarf eine r Reihe von Maßnahmen, die 
gewährleisten, dass den datenschutzrechtlichen Vorschriften 
Rechnung getragen wird. Ein Beispiel hierfür ist der so ge- 
nannte „Rückruf bei Nichtmelden“, den verschiedene Netz- 
betreiber ihren Kunden anbieten. Dieses Leistungsmerkmal 
löst eine automatische Mitteilung an den Anrufer, der einen 
Angerufenen nicht erreicht hat, aus, sobald der Angerufene 
wieder telefoniert bzw. den Hörer betätigt hat. Manche Tele- 
fonkunden möchten aber nicht, dass Dritte erfahren, ob sie 
in der Zwischenzeit telefoniert haben, oder sie befürchten, 
dass Dritte auf diese Art und Weise erfahren, ob sie zu 
Hause sind oder ob ungebetene Besucher freies Feld haben. 
Aufgrund einer Reihe von Beschwerden, die wegen solcher 
Befürchtungen an mich gerichtet worden sind, habe ich 
mich im Berichtszeitraum m it der datenschutzrechtlichen 
Bewertung dieser Funktion bei einem großen T elekommu- 
nikationsuntemehmen beschäftigt. 

Nach eingehender Prüfung der Informationen über die Aus- 
gestaltung des Leistungsmerkmals und über die technischen 
Details konnte ein Verstoß gegen datenschutzrechtliche Be- 
stimmungen im Bereich der T elekommunikation nicht fest- 
gestellt werden. Meine Rechtsauffassung wird auch von der 
Regulierungsbehörde für Telekommunikation und Post ge- 
teilt, mit der ich mich dies bezüglich in Verbindung gesetzt 
habe. Nach meiner Einschätzung kann das Leistungsmerk- 
mal nicht als geeignetes Instrument zur Überwachung der 
Telekommunikation angesehen werden, weil der V erbin- 
dungsversuch lediglich für drei Stunden gespeichert und da- 
nach gelöscht wird. Zudem wird der Rückmf durch jede Ak- 
tivität beim angerufenen Anschluss, zum Beispiel bereits 
durch Abheben und Auflegen des T elefonhörers, ausgelöst, 
sodass der Anrufer nicht erfährt, ob der Angerufene ein T e- 
lefongespräch geführt hat. W egen der relativ kurzen Spei- 
cherdauer kann diese Funktion noch als Speicherung von 
Verbindungsdaten zum Aufbau einer weiteren V erbindung 
angesehen werden. Dies ist nach § 6 Abs. 2 TDSV aus- 

drücklich zugelassen. 

Für alle, die sich persönlich besonders stark von dem Leis- 
tungsmerkmal in ihrer Privatsphäre gestört fühlen, folgen- 
der Tipp: Beim Anschluss eines Anrufbeantworters, der sich 
nach dem ersten Klingeln einschaltet, kann der Anrufer den 
Rückruf nicht aktivieren. 

11.10.4 Wo ist er denn? 

Moderne Kommunikationsmittel können zur V erbesserung 
der Sicherheit eingesetzt werden. So wird beispielsweise 
eine zusätzliche Hardware für das Handy angeboten, die 
mittels SMS einen Alarm aussendet, wenn das Handy einen 
vorgegebenen Bereich verlässt. Mithilfe dieser T echnik 
können Eltern beispielsweise informiert werden, wenn ihr 
Kind zu weit vom W eg in den Kindergarten abkommt. Das 
Handy kann dann auch angerufen werden, um unauffällig zu 
hören, ob sich das Kind in eine r gefährlichen Situation be- 
findet. Was bei einem Kinder gartenkind eine gewisse Si- 
cherheit vermittelt, wird von einem Jugendlichen sicherlich 
als Bevormundung und Überwachung verstanden. Hier 
müssen die Erziehungsberechtigten verantwortungsvoll prü- 


fen, ob und wann ein solches Gerät angemessen ist. Gleich- 
falls kann es aber auch, etwa im Handschuhfach eines Autos 
versteckt, zur Überwachung von Personen missbraucht wer- 
den. Demnächst wird eine Überwachungskamera auf den 
Markt kommen, mit der man sich das aktuelle Bild per Mul- 
timedia Messaging Service au f das Handy schicken lassen 
kann. Ein Bespitzeln Dritter ist mit diesen Produkten ohne 
weiteren Aufwand möglich. Wie bei vielen Dingen des täg- 
lichen Lebens gilt auch hier , dass sie sinnvoll, aber auch 
zum Schaden für Andere eingesetzt werden können. Gerade 
im Bereich der neuen Technologien ist daher ein verantwor- 
tungsvoller Umgang mit den Produkten gefordert. 

Das gleiche gilt für bestimmte Dienste in den Mobilfunknet- 
zen. So bietet etwa ein Mobilfunknetzbetreiber einen Dienst 
an, mit dem ein verlegtes Handy gefunden werden kann. 
Dabei wird der ungefähre Standort im Internet auf einer 
Karte sichtbar gemacht. Dieser Dienst kann sinnvollerweise 
u. a. dazu genutzt werden, de n Standort eines Außendienst- 
mitarbeiters zu erfahren, ohne ihn durch ständige Anrufe zu 
stören. Obwohl der Dienst passwortgeschützt ist, bestand 
bei seiner Nutzung ein hohes Missbrauchspotenzial. Auf 
meine Anregung hin hat der Netz betreiber eingeführt, dass 
bei jeder Ortung eine entspr echende Kurzmitteilung an das 
Handy gesendet wird. W enn nun der Handybesitzer gegen 
seinen Willen geortet und ihm dies automatisch mitgeteilt 
wird, kann er darauf reagieren. Der neugierige Mitmensch 
hat dann das Nachsehen. Dieses Beispiel zeigt, wie durch 
eine kleine Änderung die Möglichkeit, einen Dienst zu 
missbrauchen, deutlich reduziert werden kann, ohne seine 
Nutzung einzuschränken. 

11.11 Einzelverbindungsnachweis 

Der Einzelverbindungsnachweis (EVN) wird einzig zu dem 
Zweck ersteht, um den Anschlussinhaber in die Lage zu 
versetzen, die Höhe seiner Telefonrechnung detailliert nach- 
vollziehen zu können, da dort jede entgeltpflichtige V erbin- 
dung im Einzelnen aufgelistet ist. Andere Nutzungsmög- 
lichkeiten des EVN sind dagegen ausgeschlossen. So darf 
beispielsweise ein Unternehmen, auch soweit es die Kosten 
für die bei ihm eingehenden T elefonate übernimmt, keinen 
EVN mit der Angabe der vollständigen Rufnummern erhal- 
ten, um damit das Anrufverhalten seiner Kunden auswerten 
und konkrete Werbemaßnahmen vornehmen zu können. 

11.11.1 Entgeltfreie Verbindungen - nicht 
auf der Rechnung 

Nach § 7 Abs. 3 T elekommunikations-Datenschutzverord- 
nung hat der Diensteanbieter unmittelbar nach Beendigung 
der Verbindung aus den erhobenen V erbindungsdaten die 
für die Berechnung des Entgelts erforderlichen Daten zu er- 
mitteln und nicht erforderliche Daten unverzüglich zu lö- 
schen. Bei entgeltfreien V erbindungen besteht daher keine 
Notwendigkeit, solche Verbindungsdaten nach Versendung 
der Rechnung abzuspeichem. Dies gilt beispielsweise für 
Verbindungen zu 0800-Rufnummem, die für den Anrufer 
kostenfrei sind. Das hat für die Kunden, die einen EVN be- 
antragt haben, zur Folge, dass dort nur die entgeltpflichtigen 
Verbindungen aufgeführt werd en dürfen. Damit wird das 
Femmeldegeheimnis, dem auch die im EVN aufgeführten 
Verbindungsdaten unterliegen, nur so weit eingeschränkt, 
wie es zugunsten der T ransparenz der Rechnung erforder- 
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lieh ist. Die Daten müssen allerdings so aussagekräftig sein, 
dass Höhe und Richtigkeit der für die einzelnen V erbindun- 
gen geltend gemachten Entge lte nachprüfbar sind. Da die 
oben erwähnten V erbindungen als solche gar nicht ent- 
geltrelevant sind, dürfen diese auch nicht in der Rechnung 
ausgewiesen werden. 

11.11.2 Sollen auch Angerufene einen Einzel- 
verbindungsnachweis erhalten? 

Nicht nur der Anrufer, sondern auch der Angerufene kann in 
bestimmten Fällen einen EVN zur Prüfung der Abrechnung 
erhalten. Dies gilt etwa für die oben erwähnten 0800er Ruf- 
nummern, bei denen nur dem Angerufenen Kosten entste- 
hen. Dabei wäre die Angabe der vollständigen Rufnummer 
auf dem EVN allerdings nicht datenschutzgerecht. Unab- 
hängig von der Nutzung de r Rufnummemunterdrückung 
könnte der Inhaber der 0800er Rufnummer dann nämlich 
den Anrufer identifizieren. De shalb darf nur die um drei 
Stellen verkürzte Rufnummer auf dem EVN erscheinen. 
Diese Auffassung, die ich schon früher vertreten habe, ist 
nunmehr durch die Regelung in der T elekommunikations- 
Datenschutzverordnung aus dem Jahr 2000 eindeutig bestä- 
tigt worden. 

Bei bestimmten anderen Rufn ummem sind die V erbin- 
dungsdaten sowohl für den Anru fer als auch für den Ange- 
rufenen abrechnungsrelevant, so etwa bei 0180er und 
0190er Rufnummern. Aber auch hier dürfen die Angerufe- 
nen im Rahmen des EVN nur die gekürzten Rufnummern 
erhalten. Bei den 0190er Rufnummern gilt zwar die Beson- 
derheit, dass der Angerufene nicht für die von ihm erbrachte 
Dienstleistung zu zahlen hat, sondern vielmehr selbst ein 
entsprechendes Entgelt erhält. Neben dem Abrechnungsver- 
hältnis mit dem Endkunden besteht aber noch zusätzlich ein 
Vertragsverhältnis mit dem T elekommunikationsuntemeh- 
men, das den Dienst technisch durchführt. Um diese Beson- 
derheit angemessen berücksichtigen zu können, habe ich 
mich mit der Regulierungsbehörde für T elekommunikation 
und Post darauf verständigt , dass bei den 0190er Rufnum- 
mern auch dem angerufenen Diensteanbieter ein EVN aus- 
gestellt werden darf. 

EVN, die teilweise auch kurzfri stig elektronisch abgerufen 
werden können, haben für die Diensteanbieter noch eine 
weitere wirtschaftliche Bedeutung. So kann mithilfe der 
Auswertung der Rufnummern etwa die Wirksamkeit von re- 
gionalen Werbemaßnahmen beurteilt werden. Da die letzten 
drei Ziffern gekürzt sind und damit der einzelne Nutzer 
nicht erkennbar ist, bestehen von Seiten des Datenschutzes 
keine Bedenken gegen eine solche Auswertung. 

11.12 Öffentliche Kundenverzeichnisse 

Öffentliche Kundenverzeichnisse, also T elefonbücher und 
CD-ROM, sowie Abfragen über das Internet und die telefo- 
nische Auskunft werden gerne genutzt, und viele T elefon- 
teilnehmer wollen so auch erreichbar sein - aber nicht alle. 
Oftmals hat der Teilnehmer gute Gründe, seine Rufnummer 
oder Adresse nicht publik werd en zu lassen. Gleichwohl 
passiert es immer wieder , dass gegen den W illen des An- 
schlussinhabers seine Daten veröffentlicht werden. Ein Bei- 
spiel, das auch in der Presse nachzulesen war , betraf ein 
Frauenhaus in Tübingen. Damit war nicht nur der Aufent- 
haltsort der dort betreuten Frauen offenkundig geworden. Es 


entstand auch beträchtlicher materieller Schaden, da das 
Frauenhaus sich gezwungen sah, umzuziehen. 

Bei den Betrof fenen, die sich wegen eines Falscheintrags 
ihrer Daten an mich gewandt haben, handelt es sich im 
Wesentlichen um Kunden der Deutschen T elekom AG 
(DTAG). Auf meine Nachfrage hat die DT AG im Regelfall 
angegeben, dass ein „individueller Arbeitsfehler“ Ursache 
für den unerwünschten Eintrag gewesen sei. Auffällig war, 
dass der Kunde häufig keinen neuen Anschluss beantragt, 
sondern den vorhandenen nur geändert haben wollte, so 
z. B. die Umwandlung eines analogen in einen ISDN-An- 
schluss. Während früher in diesen Fällen alle V ertragsanga- 
ben neu erhoben werden musste n, werden mittlerweile die 
bisherigen Daten übernommen und nur bei Bedarf aktuali- 
siert. Damit konnte die DT AG eine wesentliche Fehler- 
quelle ausschließen. Gleichwohl bedarf es auch weiterhin 
der intensiven Schulung der mit der Auftragsannahme be- 
trauten Mitarbeiter, um individuellen Fehlern vorzubeugen. 

Verbesserungsbedarf sehe ich auch bei der Bearbeitung von 
Kundenbeschwerden. So hatten sich in der V ergangenheit 
vermehrt Kunden vergeblich an die DTAG gewandt, um den 
Falscheintrag ihrer Daten korrigieren zu lassen. Erst nach- 
dem sie sich wegen der mangelhaften Bearbeitung ihres An- 
liegens an mich gewandt hatten, wurde ihrem W unsch ent- 
sprochen. 

Schließlich stellte sich heraus , dass eine fehlerhafte Soft- 
ware in vielen Fällen das korrekte Entfernen von Einträgen 
unmöglich gemacht hatte. Es dauerte einige Monate, bis 
dieser Fehler beseitigt wurde. 

Fehler bei der Bearbeitung von Kundendaten betref fen im 
Übrigen nicht nur den T elefonbucheintrag. Mir ist auch ein 
Fall bekannt geworden, bei dem ein Kunde keine Rechnung 
mehr erhielt. Da der Rechnungsbetrag, der unverändert vom 
Konto abgebucht wurde, nicht auf fällig war, bemerkte der 
Kunden dies erst gar nicht. Sc hließlich stellte sich heraus, 
dass die Rechnungsanschrift falsch eingegeben war und ein 
anderer Kunde die Rechnungen mit Einzelverbindungs- 
nachweis erhalten hatte. 

11.13 Inflation der Verbindungsdaten 

Als in den Vermittlungsstellen der Fernmeldeämter noch die 
Relais klapperten, gab es praktisch keine Verbindungsdaten, 
sondern nur eine mechanische Zählung der Gesprächsein- 
heiten. Heute sieht die Telekommunikationswelt jedoch an- 
ders aus. Die Daten einer Kommunikationsverbindung wer- 
den häufig nicht nur einmal, sondern mehrfach und dann 
noch an verschiedenen Stellen gespeichert. So beispiels- 
weise beim so genannten Call -by-Call Verfahren, wenn die 
Daten für die Abrechnung auch bei dem alternativen Netz- 
betreiber entstehen. Meist erstellt dieser keine eigene Rech- 
nung, sondern übermittelt die V erbindungsdaten an die 
Deutsche Telekom AG (DTAG), damit diese dem Kunden 
eine Gesamtrechnung ausstellen kann. Bei entsprechendem 
Wunsch des Kunden finden sich diese Daten dann auch auf 
dem Einzelverbindungsnachweis. Für die Bearbeitung von 
Kundenbeschwerden über die von Call-by-Call-Anbietern 
erhobenen Entgelte übermittelt die DTAG die Verbindungs- 
daten, zusammen mit weiteren Informationen, etwa dem 
Namen und der Anschrift des Kunden, wieder zurück an den 
alternativen Netzbetreiber. Sollte dieser nicht selbst die 
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Beschwerden bearbeiten, werden die Daten schließlich an 
ein Abrechnungsunternehmen weitergegeben. 

Verbindungsdaten werden von den T elekommunikationsun- 
ternehmen aber auch erfasst, damit diese untereinander die 
Kosten für die Weiterleitung der Gespräche, die so genann- 
ten Interconnectiongebühren, abrechnen und prüfen können. 
Weiterhin dürfen Verbindungsdaten zur Verhinderung einer 
unberechtigten Nutzung von T elekommunikationsdiensten 
oder auch — sofern der Kunde zugestimmt hat - zur bedarfs- 
gerechten Gestaltung von Telekommunikationsdiensten ver- 
arbeitet und genutzt werden. Soviel zur Theorie, bei der es 
schon mühsam ist, die Übersicht über die verschiedenen 
Stellen zu behalten, die die Daten eines T elefonats spei- 
chern. 

Die Praxis der Verarbeitung von Verbindungsdaten bereitet 
zusätzliche Probleme für den Datenschutz. Dies gilt bei- 
spielsweise für die Sicherungskopien (Backup), die von den 
Telekommunikationsuntemehmen gefertigt werden. Diese 
enthalten z. T. Verbindungsdaten, die nicht abrechnungsre- 
levant sind und daher nicht über die gesetzliche Frist hinaus 
gespeichert werden dürfen. Da diese Daten für die Telekom- 
munikationsuntemehmen aber Geld wert sind, stoße ich mit 
meiner Forderung auf Datenlöschung auf wenig V erständ- 
nis. 

Problematisch sind auch die mehrjährigen handeis- und 
steuerrechtlichen Aufbewahrungspflichten für Rechnun- 
gen. Diese rechtfertigen nach Auffassung eines Call-by-Call 
Anbieters auch die entsprechend lange Speicherung der 
vollständigen Einzelverbindungsdaten. Folgerichtig waren 
in diesem Fall alle V erbindungsdaten seit Gründung des 
noch recht jungen Unternehmens verfügbar . Die vollstän- 
dige Zielrufnummer und genaue Uhrzeit ist meines Erach- 
tens jedoch für handeis- und steuerrechtliche Zwecke nicht 
erforderlich. 

ln einem anderen Unternehmen wird die Zielrufnummer der 
Verbindungen vollständig in eine Datenbank übernommen, 
auch wenn dies nicht dem Kundenwunsch entspricht. Dort 
bleibt der Datensatz noch etwa drei Monate zur Bearbeitung 
möglicher Kundenbeschwerden erhalten. Der Netzbetreiber 
argumentiert, dass er diese Da ten gesperrt habe, da nach 
Rechnungserstellung kein Zugriff auf die vollständigen Ruf- 
nummern erfolge und sie damit von ihm nicht genutzt 
würden. Lediglich die entsprechend dem Kundenwunsch 
zusätzlich gespeicherte Zielrufnummer werde noch verwen- 
det. Diese Auffassung verkennt, dass das Löschungsgebot 
nicht durch das Sperren von Daten erfüllt werden kann. 

Nach meinen Erfahrungen wird noch viel Arbeit erforder- 
lich sein, um die Unternehmen von einem sparsamen Um- 
gang mit Verbindungsdaten zu überzeugen, auch wenn das 
Speichern in manchen Fällen einfacher ist. 

11.14 Nutzung von Bestandsdaten zu Werbe- 
zwecken in der Telekommunikation 

Die einen finden es nur lästig, andere begrüßen die zusätzli- 
chen Informationen. Heute ist es üblich, dass fast bei jeder 
von den T elekommunikationsuntemehmen übersandten 
Rechnung Werbematerial beigefügt ist. Oftmals ist es 
schwierig zu unterscheiden, ob solche Materialien nützliche 
Informationen für die eigene V ertragsgestaltung oder nur 
allgemeine Werbung enthalten. Gerade dieser Unterschied 


ist aber für die datenschutzrechtliche Bewertung dieses 
Sachverhalts wichtig, wobei ich wegen der Schwierigkeit 
der Abgrenzung in manchen Fällen einen eher großzügigen 
Maßstab bei der Prüfung anlege. 

Nach § 89 Abs. 2 Nr . 1 Buchst, a T elekommunikationsge- 
setz (TKG) bzw . § 5 Abs. 1 T elekommunikations-Daten- 
schutzverordnung (TDSV) ist die V erarbeitung und Nut- 
zung von Bestandsdaten von Kunden für die inhaltliche 
Ausgestaltung oder Änderung des V ertragsverhältnisses 
auch ohne Einwilligung des Betroffenen möglich. Dies gilt 
jedoch nicht für die Nutzung solcher Daten für Zwecke der 
Werbung, Kundenberatung oder Marktforschung gemäß 
§ 89 Abs. 7 TKG bzw. § 5 Abs. 2 TDSV. ln diesen Fällen ist 
die ausdrückliche Einwilligung des Betrof fenen erforder- 
lich. Dies geschieht in der Regel bei Abschluss von T ele- 
kommunikationsverträgen, in dem man auf dem Antragsfor- 
mular die entsprechende T extpassage (ich stimme zu, dass 
...) ankreuzt. 

Vor diesem Hintergrund kann man etwa Hinweise auf neue 
oder günstigere Tarife, auf neue Handys oder T elefonend- 
geräte noch zur inhaltlichen Ausgestaltung von Telekommu- 
nikationsverträgen rechnen. Als reine Werbung, die der aus- 
drücklichen Zustimmung bedarf, sind dagegen allgemeine 
Kundeninfonnationen über das Unternehmen ohne Bezug 
zum bestehenden Vertragsverhältnis anzusehen. Unzulässig 
in diesem Zusammenhang ist auf jeden Fall eine W erbung 
für Drittfirmen, wenn die Einwilligung nicht erteilt wurde. 

11.15 Erfahrungsbericht: Telekommunikations- 
anlagen bei Bundesministerien II 

ln meinem letzten Tätigkeitsbericht (Nr . 10.16) habe ich 
von einer Umfrage bei den Bunde sministerien berichtet, in 
der ich nach der V erarbeitung der Verbindungsdaten in den 
Telekommunikationsanlagen gefragt hatte. Bei vier Ministe- 
rien habe ich im Berichtszeitraum einen Beratungs- und 
Kontrollbesuch durchgeführt und konnte mich von der prak- 
tischen Umsetzung der Anforderungen überzeugen. Dabei 
war nicht alles problemlos. 

ln einem Fall waren z. B. noch V erbindungsdaten aus etwa 
zweieinhalb Jahren unzulässigerweise gespeichert, darunter 
sogar die vollständigen Gesprächsdaten des Ministers und 
der Personalräte. Entsprechend der Dienstvereinbarung hät- 
ten von diesem Personenkreis die Rufnummern der dienstli- 
chen Gespräche gar nicht erst erhoben werden dürfen. Bei 
den privaten Gesprächen aller Mitarbeiter hätten zudem die 
letzten zwei Stellen der Zielrufnummer gelöscht werden 
müssen. Schließlich wurde en tgegen den Regelungen der 
Dienstanschlussvorschriften (DAV) bzw. der eigenen 
Dienstvereinbarung auch die Uhrzeit der V erbindung er- 
fasst. 

Wenn dabei keine sensiblen Daten einsehbar sind, habe ich 
nichts gegen eine bei Bedarf freigeschaltete Femwartung ei- 
ner Telekommunikationsanlage einzuwenden. Erhebliche 
Bedenken hatte ich insoweit allerdings bei einem Daten- 
bankserver, auf dem die Verbindungsdaten gespeichert wur- 
den. Hierbei war es einer privaten Firma über einen Fem- 
wartungszugang möglich, auf die Daten zuzugreifen, ohne 
dass eine wirkungsvolle Kontrolle stattfand. 

Auch wenn dies außer gewöhnliche Beispiele sind, konnte 
generell festgestellt werden, dass zwischen der Theorie in 
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den Dienstvereinbarungen und der Praxis erhebliche Unter- 
schiede bestehen. Die Dienstvereinbarungen werden meist 
an neue technische und or ganisatorische Verhältnisse nicht 
angepasst oder ihre Umsetzung stößt auf technische Pro- 
bleme, die nicht angemessen gelöst werden, ln einigen Fäl- 
len fehlt es auch an der Sensibilität für den Datenschutz, 
etwa wenn Ausdrucke von Dienstgesprächen dann vernich- 
tet werden, wenn der Schrank voll ist. Eine Anweisung zur 
Aufbewahrungsdauer gab es in diesem Fall nicht. 

Entsprechend den Regelungen der DA V erfolgt ein Aus- 
druck der Liste der Privatgespräche nur dann, wenn der Mit- 
arbeiter dies im Einzelfall wünscht, etwa wenn der zu zah- 
lende Betrag ungewöhnlich hoch ist. ln vielen Ministerien 
wird jedoch immer ein Einzel Verbindungsnachweis erstellt. 
Es ist nun einerseits bequem und heute durchaus üblich, ei- 
nen Einzelverbindungsnachweis zu erhalten. Andererseits 
werden damit aber sensible Daten entgegen einer bestehen- 
den Regelung verarbeitet. Gleichwohl hat sich kein einziger 
Mitarbeiter bei mir bislang über diesen Abrechnungsmodus 
beschwert. Ich habe daher von der Forderung abgesehen, 
hier unmittelbar das Verfahren zu ändern, zumal seit länge- 
rem eine Überarbeitung der DAV geplant ist. Es kann abge- 
wartet werden, wie die Regelungen der neuen DA V in die- 
sem Bereich ausfallen. 

Auch neue technische En twicklungen sind von Seiten des 
Datenschutzes zu berücksichtigen. So war beispielsweise in 
einem Ministerium ein CTl-System (Computer T elephony 
Integration) eingeführt worden. Über den PC des jeweiligen 
Mitarbeiters können die letzten T elefonverbindungen und 
Anrufversuche eingesehen werden und sein Telefon fernge- 
steuert werden. Dieses System kann in vielen Fällen die Ar- 
beit erleichtern. So muss man T elefonnummem nicht noch- 
mals heraussuchen, ein Maus klick genügt für die erneute 
Anwahl. Andererseits muss den Mitarbeitern aber mitgeteilt 
werden, dass hier eine weite re Speicherung aller V erbin- 
dungsdaten stattfindet und dass sie diese Daten löschen kön- 
nen. Nur ein Mitarbeiter , der darüber informiert ist, kann 
etwa den Eintrag zu einem vertraulichen Privatgespräch ent- 
fernen. 

Nach diesen Erfahrungen möchte ich meine Empfehlung an 
die behördlichen Datenschutzbeauftragten nochmals wie- 
derholen, die Verarbeitung der Verbindungsdaten der Tele- 
kommunikationsanlagen zu kontra liieren. Flier sollte nicht 
nur betrachtet werden, welche Daten ausgedruckt werden, 
sondern auch, welche Daten wie lange in der Datenbank tat- 
sächlich gespeichert sind. W eiterhin sollte geprüft werden, 
ob technische Neuerungen eine Anpassung der Dienstver- 
einbarung erforderlich machen. 

11.16 ... und in der Pause wird gesurft. 

Dienstliche und private Internetnutzung 
am Arbeitsplatz 

Das Internet hat auch vor de utschen Amtsstuben nicht Halt 
gemacht. Denn dieser vielfältigen Infonnationsquelle, die 
die Arbeit erwiesenermaßen erleichtert und beschleunigt, 
will sich die Moderne V erwaltung eines Modernen Staats 
erklärtermaßen nicht verweigern. So werden immer mehr 
Arbeitsplätze mit einem direkten Zugang zum Internet aus- 
gestattet. Und schon fast Zwangs läufig steht sich dann die 
Frage, ob und, wenn ja, unter welchen Bedingungen neben 


der dienstlichen auch die private Nutzung zugelassen wer- 
den soll. 

Da die Antwort nicht unbedingt auf der Hand hegt, haben 
sich mehrere Behörden mit der Bitte um Beratung und Un- 
terstützung an mich gewandt. Hi erbei zeigte sich, dass die 
Bereitschaft gewachsen ist, die private Nutzung in einem 
begrenzten Maße zu erlauben — vermutlich als Folge der 
Einsicht, dass die Natur des ln temet eine strikt dienstliche 
Nutzung kaum zulässt und dass ein Verbot das programma- 
tisch von oberster Stelle verkündete „Internet für alle“ Lü- 
gen strafen würde. 

ln einem Leitfaden habe ich daher ein Modell entwickelt, 
das die private Nutzung von Internetdiensten in geringem 
Umfang und unter bestimmten Bedingungen erlaubt. Um in 
diesem Fall zu einer datenschutzgerechten Lösung zu kom- 
men, gilt es nicht nur unterschiedliche gesetzliche Regelun- 
gen im Bereich der dienstlichen und der privaten Nutzung 
sinnvoll und praktikabel zu verzahnen, sondern auch die be- 
rechtigten Interessen des Dienstherm an einer angemesse- 
nen Kontrolle und die der Beschäftigten an einer unbeob- 
achteten Nutzung in Einklang zu bringen. 

Der Leitfaden enthält neben allgemeinen datenschutz- 
rechtlichen Grundsätzen für die dienstliche und für die 
private Nutzung auch solche, die bei der Protokollierung 
der Verbindungs- und Nutzungsdaten, besser bekannt als 
„Surf-Daten“, umgesetzt we rden sollten und die - dem 
Motiv „Datensparsamkeit“ folgend — unabhängig von der 
Art der Nutzung gelten, ln einer Muster -Dienstvereinba- 
rung, die diese Grundsätze abbildet und den inhaltlichen 
Rahmen für die Nutzung der Intemetdienste absteckt, 
sind datenschutzrechtlich vertretbare Kontrollmaßnah- 
men durch den Dienstherrn und Regelungen bei miss- 
bräuchlicher oder unerlaubter Nutzung festgelegt. Die 
Kontrollmaßnahmen beziehen sich gleichermaßen auf die 
dienstliche und — durch Einw illigung des einzelnen Be- 
schäftigten - auch auf die private Nutzung, da eine tech- 
nische Trennung zwischen diesen Bereichen in dem dar- 
gestellten Modell nicht vor gesehen ist. Der Leitfaden ist 
auf meiner Internetseite unter www .bfd.bund.de/informa- 
tion/Leitfaden.pdf abrufbar. 

Ob der Dienstherr auch mit weniger Kontrolle auskommen 
kann, liegt in seiner Entscheidung. Das gilt auch für die 
Frage, ob er die private Nutz ung des Intemetzugangs über- 
haupt erlaubt oder eher ein anderes Modell - z. B. ein behörd- 
liches Intemetcafe für privates Surfen - realisieren will. 

12 Postunternehmen 

12.1 Was lange währt, wird endlich gut: 

Die neue Datenschutzverordnung 
für Postdienste 

Wie bereits in meinem 18. TB (Nr. 29.1) berichtet, hatte das 
BMWi im Jahr 2000 mit den Arbeiten an der neuen Post- 
dienste-Datenschutzverordnung (PDSV) begonnen. Die 
Arbeiten wurden inzwischen beendet, sodass die PDSV 
endlich am 3. Juli 2002 in Kraft treten konnte. Diese V er- 
ordnung enthält die speziellen Regelungen des Datenschut- 
zes bei Postdienstuntemehmen. Geregelt werden die Erhe- 
bung und der Umgang mit den personenbezogenen Daten 
und damit fundamentale Rechte und Pflichten der am Post- 
verkehr Beteiligten. 
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Erfreulicherweise hat das BMWi mit meiner Hilfe überwie- 
gend datenschutzrechtlich gelungene Lösungen der von mir 
angesprochenen Probleme gefunden. 

Insbesondere ist nunmehr die W eitergabe von neuen An- 
schriften aus dem Nachsendeverfahren an andere W ettbe- 
werber klar geregelt. Die Daten dürfen nur zum Zweck der 
Postzustellung übermittelt werden, wenn der Betrof fene 
nicht widersprochen hat. 

Die Regelungen der neuen PDSV sind den Erfordernissen 
des technischen Fortschritts angepasst. Die Einführung mo- 
dernster Infonnationstechnik, wie z. B. elektronischer Quit- 
tierung von Auslieferung von Postsendungen (Handscan- 
ner) oder elektronischer Sendungsverfolgung im Internet 
(Tracking & Tracing) wird von ausgewogenen datenschutz- 
rechtlichen Regelungen begleitet. 

Leider wurden bei der Umsetzung nicht alle meine Forde- 
rungen berücksichtigt. 

So findet sich beim Nachsendeverfahren keine konkrete Re- 
gelung zur Lösung des Informationsproblems im Bereich 
Pressepost, die aus Kostengründen nicht nachgesandt wird. 
Sollte der Nachsendeauftraggeber der W eitergabe seiner 
neuen Anschrift an Dritte wi dersprochen haben, erhält we- 
der der Abonnent seine Zeitschrift noch der Verlag die neue 
Anschrift seines Kunden. Da darauf bei der Erteilung eines 
Nachsendeauftrages nicht besonders hingewiesen wird, der 
Kunde aber im Regelfall trotz V orauszahlung seine Zeit- 
schrift nicht mehr erhält, ist Är ger vorprogrammiert. Die 
Deutsche Post AG versucht diesen Är ger zu vermeiden, in- 
dem Nachsendeauftraggeber, die der W eitergabe ihrer An- 
schrift an Dritte widersprochen haben, wenige T age nach 
Stellung des Nachsendeauftrage s automatisch eine Post- 
karte (s. Abbildungen 3 und 4) von der Deutschen Post AG 
erhalten, um auf die Konsequenzen hinzuweisen. Diese er- 
neute Abfrage stößt aber auch auf Kritik, wie eine V ielzahl 
von Eingaben an mich belegt. Insbesondere die T atsache, 
dass man trotz der Streichung der Einwilligung auf dem 
Nachsendeauftrag nochmals aktiv tätig werden muss, um 
eine Weitergabe der neuen Anschrift an V erläge zu verhin- 
dern, stößt bei den Betrof fenen auf Unverständnis. Eine 
kundenfreundlichere Lösung wäre, die betreffenden Verlage 
würden eine Vereinbarung mit ihren Kunden treffen, die sie 
berechtigte, sich von der Deutschen Post AG die jeweils ak- 
tuelle Anschrift geben zu lassen. 

Die von mir geforderte Regelung zum Umgang mit Postsen- 
dungen für Verstorbene wurde zwar diskutiert, aber letztlich 
nicht in die Verordnung aufgenommen. Somit ist weiterhin 
unklar, wie das jeweilige Postunternehmen mit solchen 
Postsendungen zu verfahren hat. Ob z. B. solche Sendungen 
nur an als Erbe ausgewiesene Personen zugestellt werden 
dürfen oder Hinterbliebene einen Nachsendeauftrag erteilen 
müssen oder die Sendungen an den Absender zurückgege- 
ben werden müssen, bleibt nach wie vor ungeklärt. Solche 
Sendungen werden weiterhin durch die verschiedenen Post- 
unternehmen nicht einheitlich behandelt. Die jetzige Vorge- 
hensweise der Deutschen Post AG, bei der die Zusteller auf 
Anfrage des Absenders Infonnationen über das mutmaßli- 
che Ableben von Postempfängem ohne genaue Prüfung an 
die Absender weiter geben, ist damit weiterhin zumindest 
rechtlich zweifelhaft. 

Obwohl nicht alle meine Forderungen erfüllt wurden, stellt 
die neue PDSV insgesamt eine datenschutzrechtlich gelun- 


gene Regelung dar, die die unterschiedlichen Interessen der 
Postdienstleister einerseits und der Kunden andererseits an- 
gemessen berücksichtigt. 

12.2 Nachsendung bei Umzug - wer erhält 
eigentlich meine neue Adresse? 

Seit der Liberalisierung des Postmarktes und durch die 
Novellierung des Postgesetzes (PostG) im Jahr 1998 ha- 
ben sich auch Änderungen in den Beziehungen zwischen 
den verschiedenen Postunternehmen er geben. So haben 
jetzt im lizensierten Postbereich Unternehmen gegenüber 
einem marktbeherrschenden Anbieter von Postdienstleis- 
tungen Anspruch auf Zugang zu den dort vorhandenen In- 
formationen über Adressänderungen (§ 29 Abs. 2 PostG). 
Hierdurch soll die Konkurrenzfähigkeit der kleineren 
Unternehmen gestärkt werden. Dies hat erhebliche Aus- 
wirkungen auf das Nachsendeverfahren der Deutschen 
Post AG. 

Mit dem Nachsendeverfahren bietet die Deutsche Post AG 
einen Service an, der es dem Bür ger ermöglicht, sich bei 
einem Umzug oder bei einer vorüber gehenden Abwesen- 
heit vom Wohnort die an seine alte Anschrift adressierte 
Post nachsenden zu lassen. Bisher wurden die Adressda- 
ten nur innerhalb des Unternehmens Deutsche Post AG im 
Nachsendeauftragszentrum in München verarbeitet. Nun- 
mehr können auch Konkurrenzunternehmen diese Daten 
erhalten. Die Gefahr eines Missbrauchs von Daten aus 
Nachsendeaufträgen ist besonders hoch, da ein großes 
wirtschaftliches Interesse der werbetreibenden Industrie 
an möglichst umfassenden Adressdaten von neu zugezo- 
genen Bürgern besteht, ln § 7 der neuen Postdienste-Da- 
tenschutzverordnung wurden klare Regelungen über die 
Weitergabe von Adressdaten geschaf fen. Die Deutsche 
Post AG muss demnach Anschriftenänderungen an W ett- 
bewerber weitergeben, sofern der Bür ger dem nicht ex- 
plizit widersprochen hat. Dies hatte notwendigerweise 
Änderungen im Nachsendever fahren der Deutschen Post 
AG zur Folge. Sie musste zum einen in dem weitestge- 
hend automatisierten V erfahren Schnittstellen schaf fen, 
die diese Datenweitergabe ermöglichen. Zum anderen war 
der bisher zur Erteilung eines Nachsendeauftrags verwen- 
dete Vordruck den neuen rechtl ichen Gegebenheiten anzu- 
passen. So ist der Auftraggebe r über die erstmalig mögliche 
Adressweitergabe an Wettbewerber zu informieren, und ihm 
ist eine entsprechende Widerspruchsmöglichkeit einzuräu- 
men. Die Deutsche Post AG hat daraufhin in enger Ab- 
stimmung mit mir ein neues Formular entwickelt, das die- 
sem Umstand Rechnung trägt. Unter der URL http:// 
www.deutschepost.de/nachsendeservice kann der Nach- 
sendeauftrag auch online gestellt werden. 

Im Übrigen hatte ich die Neugestaltung des Formulars be- 
reits aus Gründen der unzureichenden Formulierung der Ein- 
willigungserklärung zur Adressweitergabe an Dritte - also 
nicht Wettbewerber - in meinem 17. TB (Nr. 29.2.1) gefor- 
dert. Die unzureichende Formulierung der Einwilligungs- 
klausel, die zum einen den Auftraggeber über die V erarbei- 
tung seiner Daten im Unklaren ließ und zum anderen nicht 
besonders hervorgehoben war, hatte zu einer V ielzahl von 
Eingaben geführt. Allerdings hatten die Fehler sehr häufig 
bei den Nachsendeauftraggebem selbst gelegen, weil diese 
z. B. die Einwilligungsklausel übersehen und deshalb nicht 
gestrichen hatten oder weil es V erständnis- und damit Aus- 
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Abbildung 3und4(zuNr. 12.1) 

Nachsendeverfahren bei der Deutschen Post AG 



Wollen Sie nach dem Umzug wirklich auf die 
Zustellung Ihrer Zeitschriften verzichten? 



Sehr geehrter Herr Ich bin nicht damit einverstanden, dass der 

Max Mustermann, Verlag/die Verlage folgender Zeitschrift(en) 

meine neue Adresse erhält/erhalten: 


Sie haben bei Ihrem Umzug im Nachsendeauftrag an 
die Deutsche Post keine Einwilligung zur Weitergabe 
Ihrer neuen Adresse an andere Personen gegeben. 

Das hat, falls Sie eine Zeitschrift über die Deutsche Post 
beziehen, zur Folge, dass wir Ihre neue Adresse auch 
nicht dem betreffenden Verlag mitteilen dürfen. Der 
Verlag kann Ihnen die Zeitschrift daher nicht an 
Ihre neue Adresse senden. Da Sie dies sicherlich nicht 
beabsichtigt haben, gehen wir davon aus, dass Ihnen Ihre 
Zeitschrift auch an die neue Adresse geschickt werden 
soll. Nur wenn Sie nicht wünschen, dass der Verlag 
Ihre neue Adresse erhält, schicken Sie uns diese 
Karte entsprechend ausgefüllt und unterschrieben 
innerhalb von 10 Werktagen nach Erhalt dieses 
Schreibens zurück. Danach müssen Sie damit rechnen, 
dass wir Ihre neue Abo-Adresse an Ihren Verlag weiter- 
geben, damit Sie wie gewohnt Ihre Zeitschrift erhalten. 

Ihre Deutsche Post 
Presse Distribution 


Titel der Zeitschrift (keine Tageszeitung): 
1 

Kunden nummer: 


Falls Sie mehr als einen Titel über die Post beziehen: 

Titel der Zeitschrift (keine Tageszeitung): 




Antwort 

Deutsche Post AG 
Außenstelle 

Presse Distribution Berlin 
Postfach 61 02 50 

10923 Berlin 


fullprobleme bei dem Vordruck gab. Aufgrund des auch in 
diesen Punkten verbesserten neuen Formulars erwarte ich, 
dass sich künftig die Fehler beim Nachsendeauftragsverfah- 
ren deutlich reduzieren werden. Ich werde die Entwicklung 
dieses Bereiches jedoch verstärkt beobachten. 

12.3 Paketabholung in einer Filiale der Post - 
was will die Post mit meinen Daten? 

Seit Anfang Dezember 2001 speichert die Deutsche Post AG 
die Ausweisdaten des Empfängers einer Sendung, der diese 


nach einer Benachrichtigung in einer Postfiliale abholt. Die 
Deutsche Post AG nutzt dami t eine bereits seit 1996 beste- 
hende Möglichkeit, die korrekte Auslieferung von Paketen 
nachzuweisen. Dieses Verfahren hat zu einer V ielzahl von 
Eingaben an mich geführt, da die Petenten nicht verstehen, 
warum ihre Daten gespeichert und sie darüber in der Post- 
filiale auch nicht hinreichend informiert werden. 

Nach § 8 der Postdienste-Datenschutzverordnung können die 
Postdienstuntemehmen vom Empfänger einer Sendung ver- 
langen, sich durch Vorlage eines gültigen Personalausweises, 
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Reisepasses oder durch ein sonstiges geeignetes Ausweispa- 
pier auszuweisen, wenn dies erforderlich ist, um die ord- 
nungsgemäße Ausführung der Dienstleistung sicherzustel- 
len. Hierbei darf die Deutsche Post AG die Art und Nummer 
des Ausweises, die ausstellende Behörde sowie das Ausstel- 
lungsdatum zum späteren Beweis der ordnungsgemäßen 
Auslieferung der Sendung gegenüber dem Absender spei- 
chern. Das vor geschriebene besondere Beweissicherungs- 
interesse der Deutschen Post AG, aber auch aller anderen 
Postdienstuntemehmen, hegt u. a. in haftungsrechtlichen 
Gründen. So würde z. B. bei dem Verlust einer Sendung die 
vorliegende Benachrichtigungskalte alleine nicht als Beweis 
vor Gericht angesehen, mit der möglichen Folge der Haftung 
der Deutschen Post AG. Durch die Speicherung der Daten 
des Ausweises soll die Ausl ieferung einer Postsendung ge- 
nau und rechtlich einwandfrei nachvollzogen werden kön- 
nen. Darüber hinaus handelt es sich dabei auch um eine Vor- 
beugemaßnahme der Deutschen Post AG gegen Diebstahl 
innerhalb des eigenen Betriebes. Es soll verhindert werden, 
dass Mitarbeiter der Deutschen Post AG fingierte Daten an- 
geben, um die ordnungsgemäße Auslieferung einer Sendung 
vorzutäuschen. Letztlich hegt dies auch im Interesse des Ab- 
senders und des Empfängers einer Postsendung. 

Eine Verwendung der erhobenen Daten ist nur zulässig, um 
einen Beweis über die ordnungs gemäße Auslieferung einer 
Sendung zu erbringen. Die Ausweisnummer darf keinesfalls 
so verwendet werden, dass m it ihrer Hilfe ein Abruf perso- 
nenbezogener Daten aus Dateien oder eine V erknüpfung 
von Dateien möglich ist. Außerdem sind die Daten spätes- 
tens sechs Monate nach Ablauf der gesetzlichen oder ver- 
traglichen Verjährungsfristen, die sich aus dem BGB oder 
den AGB der Postdienstunterne hmen ergeben, zu löschen, 
ln der Regel löscht die Deut sehe Post AG die Daten nach 
spätestens dreieinhalb Jahren. 

Zeitweise war es in einzelnen Filialen der Deutschen Post 
AG möglich, auch die Daten anderer Abholer von Sendun- 
gen einzusehen. Dies war möglich, weil diese Daten in den 
zu unterschreibenden Abhollisten of fen eingetragen waren. 
Ich habe dieses V erfahren gerügt und erreicht, dass heute 
diese Möglichkeit nicht mehr besteht. Aus datenschutz- 
rechtlicher Sicht bestehen keine Bedenken gegen das von 
der Deutschen Post AG gewählte Verfahren. 

12.4 Tausch einer Briefmarke - und dafür 
den Ausweis? 

Am 30. Juni 2002 haben die Briefmarken der Deutschen 
Post AG mit reinen DM-W erten ihre Gültigkeit verloren. 
Somit dürfen Briefe und Pakete seit dem 1 . Juli nur noch 
mit Briefmarken frankiert werden, die entweder neben dem 
DM-Wert noch eine Wertangabe in Euro enthalten oder nur 
mit reinen Euro- Werten versehen sind. 

Die Deutsche Post AG hatte ohne eine rechtliche V er- 
pflichtung den Besitzern von Briefmarken mit reinen DM- 
Werten den kostenlosen Umtausch der Marken angeboten. 
Hierzu mussten die Briefmarken bis zu einem W ert von 
50 DM — selbst wenn es sich um nur eine einzige Marke mit 
einem Wert von 10 Pfennig handelte — auf einem eigens ent- 
wickelten Vordruck der Deutschen Post AG unter Angabe 
des Namens und der Anschrift des Umtauschenden aufge- 
klebt werden. Ferner wurde zu Legitimationszwecken die 
Vorlage eines geeigneten Ausweispapiers (z. B. eines Perso- 


nalausweises oder eines Reisep asses) verlangt, um sicher- 
zustellen, dass Name und Anschrift des Umtauschenden 
korrekt auf dem Vordruck angegeben waren. Da die umge- 
tauschten Briefmarken stichprobenartig auf Fälschungen 
überprüft wurden, konnte durch die Angabe der persön- 
lichen Daten auf den Vordrucken bei fehlerhaften Umtausch- 
vorgängen der Umtauschende zweifelsfrei identifiziert wer- 
den. Eine Erfassung oder gar Speicherung der Ausweisdaten 
erfolgte nur bei einem konkreten Fälschungs- oder Manipu- 
lationsverdacht (wenn z. B. Kopien von Briefmarken auf 
den Umtauschbögen aufgeklebt wurden). 

Alle Umtauschbögen wurden in so genannte Safebags ein- 
gelegt, die bis zur Abholung verschlossen aufbewahrt wur- 
den. Danach wurden sie weiterhin gesichert in einer zentra- 
len Stelle bis zum 3 1 . Dezember 2002 für Prüfzwecke bereit 
gehalten. 

Die Deutsche Post AG verpflichtete sich, die Daten auf den 
Umtauschbögen nicht zu speichern oder für andere Zwecke 
(z. B. Werbung) zu verwenden. Nach Ablauf der Umtausch- 
aktion und stichprobenartigen Überprüfung der Unterlagen 
wurden diese vernichtet. W enn es auch im Einzelfall unbe- 
friedigend war, beim Umtausch einer kleinen Menge von 
Briefmarken persönliche Daten preisgeben zu müssen, war 
das Verfahren datenschutzrechtlich unbedenklich. 

12.5 Postöffnung durch Zoll oder Post - dürfen 
die das überhaupt? 

Immer wieder erreichen mich Anfragen besor gter Bürger, 
die sich darüber beklagen, dass an sie gerichtete Post geöff- 
net würde. 

Dabei handelt es sich zum einen um Auslands Sendungen, 
die auf dem Luftweg nach Deutschland gelangen und zum 
anderen um so genannte entgeltbegünstigte Briefsendungen. 
Was den ersten Bereich anlangt, dürfen nach § 5 Zollverwal- 
tungsgesetz diese Sendungen stichprobenartig geöf fnet wer- 
den, um deren Inhalt auf Einh altung der gesetzlichen Be- 
stimmungen der Bundesrepublik Deutschland zu prüfen 
(z. B. in Bezug auf gefährliche Güter, das Arzneimittelgesetz 
oder auf mögliche Einfuhrverbote). Zur V omahme der so 
genannten Beschau öffnet der Mitarbeiter des Postdienstun- 
temehmens vor den Augen de s Zollbeamten - dieser darf 
aus haftungsrechtlichen Gründen die Sendungen nicht selbst 
öffnen — die Sendung in der Beschaustelle. Nach der Be- 
schau werden die Sendungen vor den Augen des Zollbeam- 
ten wieder verschlossen. Der Zoll erteilt den Empfängern 
keinen Hinweis, aus welchen Gründen die Sendungen stich- 
probenartig geöffnet wurden. Aus datenschutzrechtlicher 
Sicht ist dieses Verfahren nicht zu beanstanden, weil weder 
Zoll noch Postdienstuntemehmen rechtlich verpflichtet sind, 
auf die Sendungsöffnung hinzuweisen. Dies wäre allerdings 
aus Gründen der T ransparenz wünschenswert. Auf meine 
Empfehlung legt die Deutsche Post AG den Sendungen aus 
Drittländern - also außerhalb der Europäischen Union - in- 
zwischen einen entsprechenden Hinweiszettel bei. 

Der zweite Bereich, in dem Sendungen geöffnet werden, sind 
- wie schon angesprochen - die so genannten entgeltbegüns- 
tigten Briefsendungen von Großkunden der Deutschen Post 
AG. Hierbei handelt es sich um Massensendungen, wie z. B. 
Kontoauszüge einer Bank oder Beitragsrechnungen von 
Versicherungen, die durch die Deutsche Post AG zu ermä- 
ßigten Entgelten befördert werden. Nach § 39 Postgesetz 
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(PostG) dürfen diese Sendungen geöffnet werden, um das 
Vorliegen der tarifrechtlichen Voraussetzungen für den Ver- 
sand zu günstigeren Konditionen zu prüfen. Die Einhaltung 
der Vertragsbedingungen durch den Absender einer Sen- 
dung wird von der Deutschen Po st AG bei Einlieferung der 
Briefe stichprobenartig nach den V orgaben einer innerbe- 
trieblichen Anweisung geprüft: Kontrolliert werden die Ein- 
lieferungslisten, die Maschine nlesbarkeit der Sendung, die 
Inhalts-, Formats- und Gewichtsgleichheit sowie die Frei- 
machung. Vom Mitarbeiter der Deutschen Post AG sind zur 
Prüfung mindestens drei Sendungen zu ziehen und mit den 
Vorgaben der AGB zu vergleichen. Die Petenten bezweifeln 
die Rechtmäßigkeit dieser Prüfungen und bemängeln, dass 
die Deutsche Post AG außer einem Aufdruck auf den geöff- 
neten Sendungen „zu Prüfzwecken geöf fnet“ keinen Hin- 
weis auf die rechtlichen Grundlagen für die Prüfung beilegt. 
Die Deutsche Post AG ist nach § 39 PostG zur V omahme 
der Prüfungen jedoch berechtigt, sodass kein datenschutz- 
rechtlicher Verstoß vorliegt. Auf meine Bitte hin prüft die 
Deutsche Post AG derzeit, ob in Zukunft den geprüften Sen- 
dungen ein Hinweis auf die Rechtmäßigkeit der Öf fnung 
beigelegt wird. 

12.6 Postzustellungsaufträge - darf die Post 
gegen meinen Willen zustellen? 

Ein Petent hatte Anfang des Jahres 2002 die Annahme einer 
amtlich zuzustehenden Sendung verweigert. Der Zusteller 
der Deutschen Post AG hatte die Sendung daraufhin of fen 
auf dem Grundstück abgelegt, auf dem er den Petenten an- 
getroffen hatte. Die förmliche Zustellung von Schriftstü- 
cken richtete sich in diesem Fall nach den V orschriften der 
Zivilprozessordnung (ZPO) in der bis zum 30. Juni 2002 
gültigen Fassung. Amtliche Zustellungen erfolgten hiernach 
auch durch die Deutsche Post AG. Die Zustellung konnte an 
jedem Ort erfolgen, an dem die Person, der zugestellt wer- 
den sollte, angetroffen wurde. Im Fall einer grundlos ver- 
weigerten Annahme des Schriftstückes war nach § 186 ZPO 
das zu übergebende Schriftstück am Ort der Zustellung zu- 
rückzulassen. Dies konnte somit auch durch die offene Aus- 
legung einer Sendung auf dem Grundstück des vor gesehe- 
nen Empfängers erfolgen. Der Zusteller der Deutschen Post 
AG hatte also im Fall des Petenten gesetzmäßig gehandelt, 
obwohl aus datenschutzrechtlicher Sicht zumindest die Ein- 
legung der Sendung in einen Hausbriefkasten wünschens- 
wert gewesen wäre. 

Erfreulicherweise ist durch die Änderung der ZPO ab 1 . Juli 
2002 eine deutliche V erbesserung des Datenschutzes er- 
reicht worden. Nach § 179 ZPO ist im Gegensatz zur alten 
Regelung die Sendung in der Wohnung bzw. den Geschäfts- 
räumen zurückzulassen. Falls dies nicht möglich ist, muss 
die Sendung zurückgesandt we rden. Die Sendung gilt mit 
der Annahmeverweigerung als zugestellt. Die offene Ausle- 
gung einer Sendung auf einem Grundstück ist künftig ein 
datenschutzrechtlicher Verstoß. 

12.7 Was sich bei der Deutschen Post AG 
sonst noch so tut 

ln den letzten beiden Jahren stellte die Deutsche Post AG ei- 
nige weitere interessante Produkte vor. 

Eines dieser Produkte ist die so genannte P ACKSTATION. 
Es handelt sich hierbei um ein insbesondere für Berufstätige 


nützliches Verfahren zur Paketzustellung, bei dem die Sen- 
dungen nicht mehr zu Hause abgeliefert, sondern über einen 
an einem gut erreichbaren Plat z aufgestellten Paketausga- 
beautomaten ausgegeben werden. Der Empfänger kann rund 
um die Uhr bestimmen, wann er die für ihn bestimmte Sen- 
dung abholt. Um diese Möglichkeit nutzen zu können, muss 
er sich bei dem System PACKSTATION anmelden. Hierbei 
werden sein Name, Vorname, die vollständige Hausanschrift 
sowie die Mobilrufnummer oder die E-Mail-Adresse regis- 
triert. Für evtl, notwendige Rückfragen wird zusätzlich eine 
Sicherheitsfrage vereinbart. Bei einer Anmeldung über das 
Internet werden als freiwillige Angaben weiter das Geburts- 
datum, die Festnetzrufnummer und die Faxnummer erbeten. 
Zur Bestätigung erhält der Em pfänger zwei Briefe von der 
Deutschen Post AG. ln dem ersten Brief befinden sich seine 
Magnetstreifenkarte, die so genannte Goldcard mit der für 
ihn eingerichteten Postnummer, der PACKSTATION-Auf- 
kleber für den heimischen Briefkasten und ein Plan mit den 
Standorten der Automaten. Der zweite Brief enthält die zur 
eindeutigen Identifizierung zusammen mit der Postnummer 
notwendige PACKSTATlON-PostPIN. Der Empfänger kann 
jetzt seine Pakete an die P ACKSTATION liefern lassen; er 
wird hierüber per SMS oder E-Mail informiert. Am Auto- 
maten gibt er die Goldcard und seine PIN ein und erhält sein 
Paket. Eine W eitergabe der personenbezogenen Daten an 
Dritte erfolgt nicht. Die Deutsche Post AG nutzt die Daten 
lediglich zur Markt- und Meinungsforschung, wenn der 
Empfänger bei der Registrierung hiergegen nicht widerspro- 
chen hat. Die bei der Auslieferung eines Pakets anfallenden 
Daten werden von der Deutschen Post AG zu Beweiszwe- 
cken maximal für den Zeitraum der gesetzlichen V erjäh- 
rungsfrist von drei Jahren gespeichert. Die T eilnahme am 
Verfahren kann jederzeit widerrufen werden. Aus daten- 
schutzrechtlicher Sicht gibt es an dem Verfahren nichts aus- 
zusetzen. 

Ein weiteres neues Produkt der Deutschen Post AG ist die 
so genannte POSTCARD für die bar geldlose Zahlung der 
Produkte und Dienstleistungen der Deutschen Post AG 
(z. B. Kauf von Briefmarken, Infopost, Postwurfsendungen 
usw.). Es handelt sich quasi um eine Kreditkarte zur Bezah- 
lung von Leistungen der Deutschen Post AG. Zur T eil- 
nahme erteilt der Kunde der Deutschen Post AG einen Auf- 
trag, in dem er seine persönlichen Daten (Name, Anschrift, 
Kontonummer und Bankverbindung für den Lastschriftein- 
zug) und das Kartenlimit angibt. Die AGB sehen nur zum 
Zweck der Bonitätsprüfüng eine W eitergabe der erhobenen 
Daten an die Creditreform Bonn Himstedt KG vor . Auch 
dieses Verfahren hat die Deutsche Post AG mit mir abge- 
stimmt. 

Ebenfalls interessant ist das so genannte Postldent-V erfah- 
ren. Es handelt sich hierbei um eine Identitätsprüfung nach 
den Vorgaben des Geldwäschegesetzes, die die Deutsche 
Post AG im Rahmen einer Au ftragsdatenverarbeitung nach 
§ 1 1 BDSG vomimmt. Kunden der Deutschen Post AG sind 
z. B. Direktbanken, die auf diesem W eg zweifelsfrei die 
Identität von Neukunden klären lassen können. Das nach 
meiner Kenntnis am häufigsten verwendete V erfahren ist 
Postident 3 zur Identifikation in einer Filiale der Deutschen 
Post AG. Aufgrund eines Kontoeröf fnungsantrages sendet 
die Bank dem Neukunden Unterlagen zur Identitätsfeststel- 
lung zu. Bei diesen Unterlagen befindet sich ein Coupon, 
den der Kunde zwecks Identifizierung in einer Filiale der 
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Deutschen Post AG vorlegen muss. Auf dem Coupon sind 
die Anschrift und die Postkundennummer der Bank und die 
Referenznummer des Neukunden angegeben. Unter Vorlage 
des Personalausweises oder Reisepasses werden die Daten 
des Kunden in der Postfiliale geprüft. Die Referenznummer, 
die Angaben zur Person sowie die weiteren Ausweisdaten 
werden nun direkt per EDV in ein Postldent-Formular über- 
tragen. Der Kunde bestätigt die Angaben anschließend 
durch seine eigenhändige Unterschrift, die mit der des Aus- 
weises verglichen wird. Die er folgte Identifizierung bestä- 
tigt der Filialmitarbeiter durch seine Unterschrift. Das aus- 
gefüllte und unterschriebene Formular wird an die Bank 
gesandt. Die erfassten Daten werden nicht gespeichert. Da- 
neben gibt es noch die Verfahren Postident 1 und 2, bei de- 
nen die Identifikation an der Wohnanschrift des Neukunden 
direkt durch den Zusteller erfolgt. Diese Verfahren bieten z. 
B. über die Identifikation hinaus noch die Möglichkeit, sich 
die Kenntnisnahme der AGB der Bank durch den Neukun- 
den bestätigen zu lassen. Auch bei diesen V erfahren bietet 
die Deutsche Post AG einen lückenlosen Nachweis über den 
Lauf des Identifikationsverfahrens. 

13 Bundeskriminalamt 

13.1 Rasterfahndung - Nach den Terror- 

anschlägen des 11. September 2001 
wieder aktuell 

Die Terroranschläge in den USA vom 1 1. September 2001 
und die Erkenntnis, dass einige der daran beteiligten T erro- 
risten sich zeitweise auch in Deutschland unerkannt aufge- 
halten hatten, führte nicht nur zu gesetzgeberischen Initiati- 
ven (s. Nr. 2). Wegen der fortdauernden Bedrohungslage 
sahen es Bund und Länder zude m als erforderlich an, nach 
weiteren potenziellen Anhängern des islamischen T erroris- 
mus, so genannten „Schläfern“, in Deutschland zu fahnden. 
Als hierfür allein geeignete Maßnahme wurde die Raster- 
fahndung zu Zwecken der Gefahrenabwehr in Betracht ge- 
zogen. Damit rückte eine Fahndungsmethode wieder in den 
Blickpunkt des polizeilichen Interesses, die im Rahmen der 
polizeilichen Arbeit seit der Fahndung nach den terroristi- 
schen Gewalttätern der „Rote Armee Fraktion“ Ende der 
70er-/Anfang der 80er-Jahre kaum noch eine Rolle zu spie- 
len schien. 

Die polizeiliche Rasterfahndung ist ein von den Polizei- 
behörden durchgeführter automatisierter Datenabgleich be- 
stimmter, auf den Täter bzw . auf den potenziellen Täter 
vermutlich zutreffender Prüfungsmerkmale mit Daten- 
beständen nicht polizeilicher Stellen. Ziel ist es zum einen, 
Personen auszuschließen, auf die die Merkmale nicht 
passen, bzw. die Zahl der ve rdächtigen Personen durch das 
Herausfiltem derjenigen mit tätertypischen Merkmalen zu 
beschr änken. Die Rasterfahndung dient außerdem dem 
Zweck, weitere für die Ermitt lungen bedeutsame Prüfungs- 
merkmale festzustellen. Die rechts staatliche Problematik 
dieser Methode hegt vor allem in der Einbeziehung einer 
Vielzahl unverdächtiger Personen, die sich durch bestimmte 
Merkmale oder Verhaltensweisen, die nach der polizeilichen 
Fahndungshypothese auch beim Täter vorhegen könnten, 
auszeichnen. Erst die Rasterfahndung beseitigt für die Mehr- 
zahl der Betroffenen die entstandenen Verdachtsmomente. 

Als Folge der T erroranschläge in den USA beschlossen die 
Gremien der Ständigen Konferenz der Innenminister und -Se- 


natoren der Länder (IMK), Rasterfahndungsmaßnahmen auf 
der Grundlage der jeweiligen landesgesetzlichen Regelung 
in den Ländern durchzuführen und beauftragten das BKA in 
dessen Funktion als Zentralstelle der Polizeien des Bundes 
und der Länder damit, hierbei unterstützend tätig zu werden, 
ln der Folgezeit haben die Länder personenbezogene Daten 
bei Universitäten, Einwohnermeldeämtern und dem Auslän- 
derzentralregister erhoben und die Datenbestände anschlie- 
ßend anhand bestimmter, zuvor festgelegter Rasterkriterien 
gegeneinander „gerastert“. Der daraus resultierende Daten- 
bestand wurde dem BKA übermittelt und von diesem in 
eine zuvor errichtete Verbunddatei eingestellt. Um den von 
den Ländern vor gerasterten Personenkreis durch weitere 
Kriterien in Anlehnung an die Täterprofile der in Deutsch- 
land zeitweise wohnhaften Attentäter vom 1 1 . September 
2001 einzuschränken, sollte der in der V erbunddatei einge- 
stellte Grunddatenbestand mit anderen Datenbeständen ab- 
geglichen und dabei eine inhaltl iche Informationsanreiche- 
rung bzw. -Verdichtung der Länderdatensätze erfolgen. 
Diese Aufgabe sollte gemäß dem o. a. Beschluss der Gre- 
mien der IMK das BKA in seiner Funktion als Zentralstelle 
mit dort vorhandenen Datenverarbeitungskapazitäten über- 
nehmen. 

Das Erheben der genannten Abgleichsdatenbestände sollte 
arbeitsteilig durchgeführt werden: Sofern entsprechende In- 
formationen z. B. von Bundesbehörden oder von Bundes- 
verbänden der Industrie zu erlangen waren, sollte das BKA 
die entsprechenden Daten erheben. Anderenfalls sollte die 
Erhebung durch die Länder im Wege der Rasterfahndung zu 
präventiv-polizeilichen Zwecken auf der Grundlage der ein- 
schlägigen Regelungen der Landespolizeigesetze erfolgen. 

Das BKA hat in der Folgezeit auf der Grundlage des § 7 

Abs. 2 Satz 2 BKA-Gesetz nach seinen Angaben ca. 

4 000 Institutionen und Firmen um Übersendung von Per- 
sonaldaten gebeten. Auf diese Ersuchen hin haben 212 In- 
stitutionen dem BKA entsprechende Daten zur V erfügung 
gesteht. Die übrigen, für den Datenabgleich für erforderlich 
erachteten Abgleichsdateien sind von den Ländern in der 
oben beschriebenen W eise erhoben worden. Aufgabe des 
BKA war es schließlich, die von ihm erhobenen bzw . ihm 
von den Ländern zur V erfügung gestellten Abgleichsda- 
teien elektronisch für den Datenabgleich aufzubereiten und 
den Abgleich mit dem in der V erbunddatei gespeicherten 
Datenbestand durchzuführen. Über die dabei festgestellten 
Namensidentitäten wird das jeweilige Land unterrichtet 
und ihm der betreffende Abgleichsdatensatz zur Verfügung 
gestellt. Dem Land obliegt es, im Rahmen der polizeili- 
chen Sachbearbeitung festzustellen, ob die „Namensidenti- 
tät“ auch zu einer „Personeni dentität“ mit der betreffenden 
Person in der V erbunddatei führt, ln diesem Fall wird der 
betreffende Datensatz in der V erbunddatei von dem Land 
gekennzeichnet und vermerkt, woraus sich die Personeni- 
dentität ergibt. Bei Redaktionsschluss zu diesem Tätigkeits- 
bericht war der beschriebene Datenabgleich im BKA aller- 
dings noch nicht abgeschlossen. 

Die öffentliche Diskussion der Rasterfahndungsmaßnahmen 
in einigen Ländern, aber auch zahlreiche Nachfragen betrof- 
fener nicht öffentlicher Stellen bei mir zur Rechtmäßigkeit 
des Ersuchens des BKA um Übermittlung von Personal- 
daten, gaben mir V eranlassung, die vom BKA geleistete 
Unterstützungstätigkeit bezüglich der von den Ländern 
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durchgeführten Rasterfahndungsmaßnahmen datenschutz- 
rechtlich zu kontrollieren. 

Dabei habe ich festgestellt, dass sich das BKA bei der 
Durchführung der o. g. Unterstützungsmaßnahinen im Rah- 
men der ihm durch das BKA-Gesetz eingeräumten Befug- 
nisse zur Erfüllung seiner Ze ntralstellenaufgabe gemäß § 2 
i. V. m. § 7 BKA-Gesetz gehalten hat. Das gilt sowohl für 
das Führen der o. g. Verbunddatei, in welcher der von den 
Ländern vorgerasterte Grunddatenbestand gespeichert wird, 
als auch für die Durchführung des Datenabgleichs auf der 
Grundlage des § 28 BKA-Gesetz. Auch das Ersuchen des 
BKA gegenüber diversen nicht öf fentlichen Stellen um 
Übermittlung von Personaldaten war formell rechtmäßig. 
Nach der zu diesem Zeitpunkt geltenden Fassung des § 7 

Abs. 2 Satz 2 BKA-Gesetz konnte das BKA Daten erheben, 
wenn die Polizeien des Bundes und der Länder nicht über die 
erforderlichen Daten verfügt haben. Da die vom BKA erho- 
benen Abgleichsdaten zum damaligen Zeitpunkt weder beim 
Bund noch bei den Ländern existierten und die Landeskrimi- 
nalämter diese absprachegemäß nicht erheben wollten, lagen 
die Voraussetzungen der subsidiären Erhebungsbefugnis des 
BKA nach dem W ortlaut des Gesetzes vor . Personenbezo- 
gene Daten können auf der Grundlage des § 7 Abs. 2 Satz 2 
BKA-Gesetz nicht zwangsweise erhoben werden. Ich habe 
das BKA deshalb daraufhingewiesen, im Rahmen seiner Er- 
suchen an diverse nicht öffentliche Stellen die Freiwilligkeit 
der Datenübermittlung ausdrücklich hervorzuheben. 

Es ist gleichwohl fraglich, ob es der Intention des Gesetzge- 
bers entsprach, dem BKA mit § 7 Abs. 2 Satz 2 BKA-Ge- 
setz eine Befugnis zur massenhaften Erhebung personenbe- 
zogener Daten von Unverdächtigen nach dem Muster von 
Rasterfahndungen in den Ländern einzuräumen. Während 
der jeweilige Landesgesetzgeber V oraussetzungen und 
Schranken für Rasterfahndungsmaßnahmen detailliert und 
normenklar geregelt hat - in ei nigen Ländern unterliegt de- 
ren Anordnung dem Richtervorbehalt und der jeweilige 
Landesdatenschutzbeauftragte ist von der Durchführung der 
Maßnahme zu unterrichten - besteht das einzige Korrektiv 
einer Datenerhebung durch das BKA gemäß § 7 Abs. 2 

Satz 2 BKA-Gesetz in der Erforderlichkeit für die Erfüllung 
seiner jeweiligen Zentralstellenaufgabe. Zwar liegt der we- 
sentliche qualitative Unterschied zu den Rasterfahndungen 
in den Ländern zum Zwecke der Gefahrenabwehr darin, 
dass personenbezogene Daten auf der Grundlage des § 7 

Abs. 2 Satz 2 BKA-Gesetz vom BKA nicht zwangsweise er- 
hoben werden können, ln den Fällen, in denen nicht öffent- 
liche Stellen auf das Ersuchen des BKA hin personenbezo- 
gene Daten über ihr Persona 1 übermittelt haben, konnte auf 
die Anordnung einer Rasterfahndung auf landesgesetzlicher 
Rechtsgrundlage und auf die erforderliche Prüfung, inwie- 
weit deren Voraussetzungen vorliegen, aber verzichtet wer- 
den. Im Hinblick darauf, dass infolge der Terroranschläge in 
den USA nach Angaben des BKA unverzüglich konkrete 
Maßnahmen zur Identifizierung ggf. weiterhin in Deutsch- 
land aufhältiger potenzieller is lamischer Terroristen getrof- 
fen werden mussten, habe ich meine Bedenken gegen die 
vom BKA durchgeführten Datenerhebungsmaßnahmen zu- 
rückgestellt. Der Versuch des BKA, auf der Grundlage des 
§ 7 Abs. 2 Satz 2 BKA-Gesetz über die Bundesverbände be- 
stimmter sicherheitsempfmdlicher Wirtschaftbereiche rasch 
an die für die Durchführung des Abgleichs erforderlichen 
Datenbestände zu kommen, sc hien eine geeignete Maß- 


nahme zu sein, zumal sie vom W ortlaut des BKA-Gesetzes 
gedeckt war. Der Umstand, dass nur wenige Unternehmen 
dem BKA Personaldaten übermittelt haben, der Großteil der 
in den Datenabgleich einzubeziehenden Datenbestände da- 
mit von den Landeskriminalämte m im W ege der Raster- 
fahndung nach dem jeweiligen Landespolizeirecht erhoben 
werden musste, stellt die Geeignetheit dieser zwischen 
Bund und Land abgestimmten Vorgehensweise im Ergebnis 
jedoch infrage. Vor diesem Hintergrund sollte künftig auf 
eine massenhafte Erhebung personenbezogener Daten durch 
das BKA, deren rechtsstaatliche Problematik - vergleichbar 
der Rasterfahndung - in der Einbeziehung einer Vielzahl von 
Unverdächtigen liegt, verzichtet werden. Für die Durchf üh- 
rung derartiger Maßnahmen stel len die hierfür jeweils ge- 
schaffenen landesgesetzlichen Regelungen zur Rasterfahn- 
dung eine rechtsstaatlich solidere Grundlage dar als die 
derzeit geltenden Nonnen des BKA-Gesetzes. 

Bedauerlich ist, dass die Rasterfahndungen nach mehr als 
einem Jahr seit dem Beginn dieser Maßnahme noch nicht 
abgeschlossen werden konnten, mit der Folge, dass weder 
die Grunddatenbestände noch die erhobenen Abgleichs- 
datensätze bisher gelöscht werden können. Ich halte es im 
Hinblick auf die rechtsstaatlic he Problematik der Raster- 
fahndung für geboten, künftig derartige Maßnahmen zügi- 
ger durchzuführen. 

13.2 Auswertedateien - neue Wege 
der Datenverarbeitung im BKA 

Das BKA hat im Berichtszeitraum mit der Errichtung so ge- 
nannter Auswertedateien neue W ege in der polizeilichen 
Datenverarbeitung beschritten. Auswertedateien stellen eine 
Art „Vordatei“ dar, in der sämtliche Informationen zu be- 
stimmten, vom BKA durchgeführten Projekten vorläufig 
gespeichert und anschließend auf ihre Relevanz für polizei- 
oder ermittlungstaktisches Vorgehen bewertet werden. Der 
neue Dateityp ist insbesondere dadurch gekennzeichnet, 
dass der Personenkreis, über den Daten gespeichert werden, 
allein durch den jeweiligen Zweck der Datei begrenzt wird, 
eine Qualifizierung der personenbezogenen Merkmale nach 
den Kriterien des § 8 Abs. 1 bis 5 BKA-Gesetz (u. a. Be- 
schuldigte, Verdächtige, Zeugen) hingegen nicht erfolgt. 
Die Zulässigkeit der Datenverarbeitung wird dabei allein 
auf die Rechtsgrundlage des § 7 Abs. 1 BKA-Gesetz ge- 
stützt, wonach das BKA personenbezogene Daten spei- 
chern, verändern und nutzen kann, soweit dies zur Erfüllung 
seiner jeweiligen Aufgabe als Zentralstelle erforderlich ist. 

Die vom BKA betriebenen Auswertedateien können gemäß 
ihrer Zweckbestimmung grob in drei Gruppen unterteilt 
werden: Aus Wertedateien zu eigenen Ermittlungsverfahren 
des BKA, projektbezogene Auswertedateien sowie Auswer- 
tedateien, mit deren Hilfe das BKA in seiner Funktion als 
Zentralstelle bestimmte gesellschaftliche bzw. gesellschafts- 
politische Entwicklungen unter polizeifachlichen Gesichts- 
punkten untersucht. Bei den Auswertedateien zu eigenen Er- 
mittlungsverfahren des BKA handelt es sich im Er gebnis 
nicht um eine Datei dieses neuen T yps. Vielmehr sind sie, 
ebenso wie die Spudok-Dateien, eine Erscheinungsform des 
Dateityps , Amtsdatei des BKA“. Ich bin mit dem BKA des- 
halb darin einig, dass sich die Regelungen der jeweiligen Er- 
richtungsanordnung an den Bestimmungen der §§ 483 ff. 

Strafprozessordnung auszurichten haben, da diese Art von 
„Aus wertedatei“ der Unterstützung des BKA bei dessen 
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Aufgabenwahmehmung auf dem Gebiet der Strafverfolgung 
gern. § 4 BKA-Gesetz dient. Auch gegen die projektbezoge- 
nen Auswertedateien (siehe hierzu auch Nr. 13.2.1) bestehen 
keine grundlegenden datenschutzrechtlichen Bedenken. 

Datenschutzrechtlich problematischer ist die V erarbeitung 
personenbezogener Daten in den übrigen Auswertedateien, 
die das BKA zur Erfüllung seiner Zentralstellenaufgabe 
führt (siehe hierzu auch Nr. 13.2.2). Der Umstand, dass der 
Kreis der von der Speicherung in der Auswertedatei Betrof- 
fenen allein durch den ohnehin stets zu beachtenden Grund- 
satz der Erforderlichkeit für die Erfüllung der Zentralstel- 
lenaufgabe des BKA gern. § 7 Abs. 1 BKA-Gesetz sowie 
durch den Zweck der jeweili gen Auswertedatei bestimmt 
wird, wiegt hier besonders schwer. Denn anders als bei den 
Aus Wertedateien, die auf der Grundlage der Strafprozess- 
ordnung geführt werden, handelt es sich hier um eine reine 
Vorsorgedatei. Zudem kann ich nicht erkennen, dass die in 
den jeweiligen Dateien gesp eicherten personenbezogenen 
Daten - wie bei den projektbezogenen Auswertedateien - 
innerhalb einer kurzen Frist auf polizeiliche Relevanz hin 
aktiv überprüft werden. Um den Kreis der von der Speiche- 
rung in einer Auswertedatei betrof fenen Personen, gegen 
die offensichtlich weder Straf fälligkeitsprognosen gesteht 
werden können noch ein Tatverdacht zu begründen ist, sach- 
gerecht einzugrenzen, halte ich es für erforderlich, den 
Zweck der jeweiligen Auswertedatei in der Errichtungsan- 
ordnung präzise zu bestimmen und die Verwendung der er- 
hobenen Daten hierauf zu beschränken. Anderenfalls wären 
entsprechende personenbezogene Speicherungen wegen 
Verstoßes gegen das Verbot der Datensammlung auf Vorrat 
unzulässig. Ich habe meine Bedenken gegen die Zulässig- 
keit dieser Auswertedateien zurückgestellt. Zum einen sind 
die Anhörungsverfahren gern. § 34 Abs. 1 Satz 2 BKA-Ge- 
setz zu den betref fenden Errichtungsanordnungen noch 
nicht abgeschlossen. Dem Ge sichtspunkt des Persönlich- 
keitsschutzes soll nach den vorliegenden Entwürfen zudem 
dadurch Rechnung getragen werden, dass Übermittlungen 
von personenbezogenen Daten aus den Auswertedateien an 
andere Stellen grundsätzlich solange unzulässig sind, wie 
eine Kategorisierung der gespeicherten Personen nach den 
Regelungen des § 8 Absätze 1 bis 5 BKA-Gesetz nicht mög- 
lich ist. Darüber hinaus soll der Zugriff auf die Dateien auf 
einen begrenzten Personenkreis im BKA beschränkt und die 
Aussonderungsprüffristen für die Datensätze auf zwei bzw . 
drei Jahre bemessen werden. 

Ich stehe dem Bemühen der Po lizei, neue Datenverarbei- 
tungsformen zu nutzen, um Straftaten wirksamer verfolgen 
und verhüten zu können, aufgeschlossen gegenüber , insbe- 
sondere wenn sich die bisherigen Datenverarbeitungsinstru- 
mente als nicht ausreichend erwiesen haben sollten. Soweit 
dabei personenbezogene Daten verarbeitet und genutzt wer- 
den, sind jedoch die einschlägigen gesetzlichen Regelungen 
sowie die Anforderungen, di e das Bundesverfassungsge- 
richt an die zulässige Einschränkung des Rechts auf infor- 
mationeile Selbstbestimmung gestellt hat, zu beachten. In- 
wieweit dem Rechnung getragen wird und worin unter dem 
Gesichtspunkt der Erforderlichkeit der zusätzliche Erkennt- 
nisgewinn gegenüber den auf der Grundlage des § 8 Ab- 

sätze 1 bis 5 BKA-Gesetz zu führenden Dateien zur V or- 
sorge für die künftige Strafverfolgung hegt, kann erst eine 
systematische datenschutzrechtliche Kontrolle der Auswer- 
tedateien ergeben. 


13.2.1 Auswertedatei „Infoboard Schleusung“ - 
intensive Zusammenarbeit zwischen 
Polizei und Nachrichtendiensten 

Ein Beispiel für die vom BKA betriebenen projektbezoge- 
nen Auswertedateien, die der Unterstützung der projektbe- 
zogenen Zusammenarbeit des BKA mit Nachrichtendiens- 
ten, polizeilichen und anderen öf fentlichen Stellen dienen, 
ist die Datei „Infoboard Schleusung“. Das damit unter- 
stützte Projekt ist der Infoboard „Schleuserkriminalität über 
die tschechische Republik“, an dem sich neben dem BKA 
das Bundesamt für Verfassungsschutz, der Bundesnachrich- 
tendienst, die Grenzschutzdirektion, das Zollkriminalamt, 
die Landeskriminalämter Bayern und Sachsen, das Landes- 
amt für V erfassungsschutz Bayern sowie das Bundesver- 
waltungsamt und das Bundesamt für die Anerkennung 
ausländischer Flüchtlinge beteiligen. Die von den Projekt- 
teilnehmern angelieferten Date n werden in der Auswerte- 
datei „Infoboard Schleusung“ gespeichert und nach be- 
stimmten Fallkomplexen ausgewertet. Ziel ist es, neue 
Erkenntnisse für polizei- und ermittlungstaktisches Vorgehen 
zu gewinnen und unbedeutende Infonnationen auszuschei- 
den. Der Vorteil der bisher eher formlosen Zusammenarbeit 
zwischen den Projektteilnehmem besteht nach Aussage des 
BKA darin, dass innerhalb des Infoboards die Kenntnisse 
der am Projekt beteiligten Stehen vor Ort im BKA im Rah- 
men regelmäßig tagender Grem ien zusammengeführt wer- 
den. Das Projekt startete im September 2001 und war zu- 
nächst auf sechs Monate befristet mit der Möglichkeit einer 
begrenzten Verlängerung. 

Ich habe gegen das Führen derartiger Auswertedateien 
keine grundlegenden datenschutzrechtlichen Bedenken. Vo- 
raussetzung ist jedoch, dass es bei der zeitlich befristeten 
und projektgebundenen Verarbeitung der personenbezoge- 
nen Daten bleibt. Zudem muss gewährleistet sein, dass die 
am Projekt beteiligten Stellen bei der Anlieferung ihrer In- 
formationen an das BKA den Rahmen der ihnen durch die 
einschlägigen Gesetze einge räumten Übermittlungsbefug- 
nisse nicht verlassen. Insbesondere ist das für die informati- 
onelle Zusammenarbeit zwischen Polizei und Nachrichten- 
diensten maßgebliche T rennungsgebot strikt einzuhalten. 
Ich stimme mit dem BKA sch ließlich darin überein, dass 
eine Überführung der im Proj ekt zusammengetragenen Er- 
kenntnisse in die Dateien des polizeilichen Informations Sys- 
tems des Bundes und der Lände r erst nach Abschluss der 
Auswertung und Feststellung der polizeilichen Relevanz zu- 
lässig ist; zumal die verstä rkte Zusammenarbeit des BKA 
insbesondere mit anderen Sicherheitsbehörden zwangsläu- 
fig dazu führt, dass das BKA in größerem Maße als bisher 
nachrichtendienstliche Infonnationen erhält. Inwieweit die 
Ziele, die mit dem Infoboard verfolgt werden sollten, er- 
reicht wurden, ist noch of fen. Zwischenzeitlich sind zwei 
weitere Projekte dieser Art gestartet worden. Das BKA be- 
absichtigt, einen Erfahrungsbericht nach Abschluss des Pro- 
jekts zu erstellen, der mir bei Redaktionsschluss zu diesem 
Tätigkeitsbericht jedoch noch nicht vorlag. 

13.2.2 Auswertedatei „Global“ - wirksames 
Instrument zur Verhinderung gewalttätiger 
Demonstrationen oder Vorratsdaten- 
sammlung über Globalisierungsgegner? 

Die zahlenmäßig größte Gruppe von Auswertedateien bil- 
den die Dateien, mit deren Hi lfe das BKA in seiner Funk- 
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tion als Zentralstelle der Polizeien des Bundes und der Län- 
der Infonnationen über bestim mte gesellschaftliche bzw . 
gesellschaftspolitische Erscheinungen bzw. Entwicklungen 
(z. B. Globalisierungsgegner, islamische Fundamentalisten, 
rechte Kameradschaften) unter polizeifachlichen Gesichts- 
punkten auswertet. Dadurch sollen Erkenntnisse insbeson- 
dere für Maßnahmen der V erbrechensverhütung gewonnen 
werden. Zu diesem Zweck werden in den jeweiligen Aus- 
wertedateien Personendaten anhand von Berichten, Meldun- 
gen und sonstigen Infonnationen, z. B. auch polizeiliche Er- 
kenntnisanfragen, unabhängig davon gespeichert, ob zum 
Zeitpunkt der Speicherung strafrechtlich oder polizeirecht- 
lich relevante Erkenntnisse zu der betrof fenen Person vor- 
hegen. 

Zu dieser Kategorie von Auswertedateien gehört auch die 
Datei „Global“. Sie ist vor dem Hinter grund der zum T eil 
gewalttätigen Auseinandersetzungen bei Demonstrationen 
von Globalisierungsgegnem an lässlich des EU-Gipfels in 
Göteborg und des Weltwirtschaftsgipfels der G8-Staaten in 
Genua im Sommer 2001 eingeri chtet worden. Die Datei 
dient dem Erkennen von Zusammenhängen in Bezug auf 
Ereignisse, Institutionen bzw. Gruppierungen sowie Perso- 
nen im Zusammenhang mit gewalttätigen Aktionen und an- 
deren Straftaten militanter Globalisierungsgegner . Gespei- 
chert werden Meldungen sowie Erkenntnisse, die im 
unmittelbaren oder mittelbaren Zusammenhang mit ein- 
schlägigen Straftaten stehen . Datenschutzrechtlich proble- 
matisch ist hier vor allem der von der Speicherung betroffene 
Personenkreis, der allein durch die genannte Zweck- 
beschreibung bestimmt wird. Di e in der Errichtungsanord- 
nung zu der Datei gewählte Formulierung halte ich vor dem 
Hintergrund des § 34 Abs. 1 Nr. 3 BKA-Gesetz, wonach in 
einer Errichtungsanordnung der Personenkreis, über den 
Daten gespeichert werden sollen, konkret festzulegen ist, 
für zu undifferenziert und zu unbestimmt. Ziel dieser Rege- 
lung ist es, den Betrof fenen das Auffinden der für sie rele- 
vanten Daten zu ermöglichen. Im Rahmen des Anhörungs- 
verfahrens zu der Errichtungsanordnung habe ich deshalb 
darauf gedrungen, den Personenkr eis, über den Daten ge- 
speichert werden sollen, möglichst präzise zu beschreiben. 
Dabei muss gewährleistet sein, dass nur polizeirelevante In- 
formationen zur Speicherung in der Datei führen; wohinge- 
gen Infonnationen über sonstiges V erhalten, z. B. über die 
bloße Teilnahme an einer derartigen Demonstration, hierfür 
nicht ausreichen. Aus meiner Sicht ist es zudem geboten, 
dass das BKA die ihm jeweils übermittelte personenbezo- 
gene Infonnation zügig auf ihre polizeiliche Relevanz hin 
überprüft und nicht die Aussonderungsprüf frist von drei 
Jahren abwartet, um feststellen zu können, ob sich die Infor- 
mation in diesem Zeitraum entsprechend verdichtet hat. Das 
Anhörungsverfahren zu der Errichtungsanordnung war bei 
Redaktionsschluss zu diesem Tätigkeitsbericht noch nicht 
abgeschlossen. 

13.3 DNA-Analyse-Datei 

Ein Schwerpunkt meiner Kontrolltätigkeit beim Bundeskri- 
minalamt betraf die datenschutzrechtliche Kontrolle der 
dort geführten DNA-Analyse-Datei, bezogen auf die DNA- 
Identifizierungsmuster, die von Bundesstellen erhoben bzw. 
in die Datei eingestellt wurden. V on den über 100 000 Da- 
tensätzen, die zum Zeitpunkt der Kontrolle im Juni 2001 in 
der DNA-Analyse-Datei gespeichert waren, stammten ledig- 


lich 173 DNA-ldentifizierungsmuster von Polizeistellen des 
Bundes, die alle durch das B KA eingestellt worden waren. 
Der überwiegende Teil der Datensätze ist — wie auch bei den 
anderen Dateien des polizeilichen Infonnationssystems des 
Bundes und der Länder — von den Polizeidienststellen der 
Länder erhoben und in der DNA-Analyse-Datei gespeichert 
worden. Nach meinen Festste Hungen hat das BKA bei der 
Erhebung von DNA-Identifizierungsmustem und deren 
Speicherung in der DNA-Analyse-Datei die in den §§ 81a ff. 
Strafprozessordnung (StPO) normierten V orraussetzungen 
in der Regel beachtet. Abweichungen er gaben sich vor al- 
lem in zwei Punkten: 

Unter den vom BKA in der Datei gespeicherten Datensätzen 
befand sich auch eine größere Anzahl von DNA-Identifizie- 
rungsmustem, die von Dienststellen des Bundesgrenzschut- 
zes und der Zollfahndung erhoben und vom BKA in Amts- 
hilfe in die DNA-Analyse-Datei eingestellt worden waren. 

Ich habe diese Praxis wegen Verstoßes gegen die einschlägi- 
gen Regelungen des BKA-Gesetzes gern. § 25 Abs. 1 BDSG 
beanstandet. Der Kreis der T eilnehmer am polizeilichen In- 
formationssystem mit dem Recht, Daten einzugeben und ab- 
zurufen, wird durch § 1 1 Abs. 2 BKA-Gesetz in Verbindung 
mit der für jede automatisierte Datei des polizeilichen In- 
formationssystems zu erstellenden Errichtungsanordnung 
festgelegt. Bei der dabei unter dem Gesichtspunkt der Erfor- 
derlichkeit zutreffenden Entscheidung ist danach zu dif fe- 
renzieren, welche Behörde vo r dem Hintergrund ihres Auf- 
gabenbereichs und der Art der in der jeweiligen Datei 
gespeicherten Informationen Zugriff auf diesen Bestand er- 
halten soll. Die entsprechende Regelung in der Errichtungsa- 
nordnung ergeht gern. § 34 BKA-Gesetz mit Zustimmung 
der Länder und nach meiner vorherigen Anhörung. Als Er- 
gebnis dieses V erfahrens, über das ich mehrfach berichtet 
habe (zuletzt 18. TB Nr . 1 1.6), ist in der Errichtungsanord- 
nung zur DNA-Analyse-Datei festgelegt worden, dass nur 
das BKA und die Landeskriminalämter im Rahmen ihrer 
jeweiligen Zuständigkeit gewonnene Daten in die Datei ein- 
geben dürfen. Die Teilnahme von Dienststellen des Bundes- 
grenzschutzes und der Zollfahndung an dieser V erbundan- 
wendung ist bei Festlegung des Teilnehmerkreises — offenbar 
wegen des spezifischen Zuständigkeitsbereichs dieser Bun- 
despolizeien - als nicht erforderlich im Sinne von § 1 1 

Abs. 2 Satz 1 BKA-Gesetz beurteilt worden. Jedenfalls habe 
ich während des Anhörungsverfahrens zu der Errichtungsan- 
ordnung, das sich über mehr als ein Jahr hingezogen hat, von 
derartigen Überlegungen keine Kenntnis erhalten. 

Die genannten Regelungen des BKA-Gesetzes beruhen auf 
dem Prinzip, dass die eingabe- bzw . abrufberechtigte Be- 
hörde gern. § 12 Abs. 2 BKA-Gesetz die datenschutzrecht- 
liche Verantwortung u. a. für die Rechtmäßigkeit der Erhe- 
bung und die Zulässigkeit der Eingabe zu tragen hat. 
Insbesondere der erste Aspekt setzt notwendig voraus, dass 
die betreffende Behörde die Daten selbst erhoben hat, die 
Umstände der Infonnationsgewinnung also kennt und be- 
einflussen konnte. Nach meinen Feststellungen lagen dem 
BKA zu den von ihm eingegebenen Datensätzen des Bun- 
desgrenzschutzes und der Zollverwaltung nur selten Infor- 
mationen vor, aus denen sich die Umstände der Datenerhe- 
bung hinreichend beurteilen ließen, ln den meisten Fällen 
musste das BKA darauf vert rauen, dass die DNA-ldentifi- 
zierungsmuster entsprechend den gesetzlichen Vorgaben der 
§§ 81a ff. StPO erhoben worden waren. Sinn und Zweck der 
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datenschutzrechtlichen Verantwortung liefen damit ins 
Leere. Der vom BKA gewählte W eg, DNA-Datensätze des 
Bundesgrenzschutzes und der Zollverwaltung als eigene 
Daten im Wege der Amtshilfe in der DNA-Analyse-Datei zu 
speichern, wird damit besonders fragwürdig. 

Ein weiterer Mangel bestand darin, dass zahlreiche von 
BGS-Dienststellen erhobene DNA-ldentifizierungsmuster 
nicht den gesetzlichen An forderungen entsprachen. Das 
Bundesgrenzschutzamt Weil am Rhein, von dem der über- 
wiegende Anteil der BGS-Datensätze stammte, hatte die ins- 
besondere zu Zwecken der Identitätsfeststellung in künftigen 
Strafverfahren gern. § 81g StPO dienenden DNA-ldentifi- 
zierungsmuster ohne die erforderliche richterliche Anord- 
nung gern. § 81g Abs. 3 i. V. m. § 8 1 f. StPO erhoben; also 
nur auf der Grundlage der Einwilligung des Betroffenen. 

Hinsichtlich der Delikte, di e vom Bundesgrenzschutzamt 
Weil am Rhein im konkreten Fall zum Anlass einer DNA- 
Analyse genommen worden waren, u. a. Urkundenfälschung 
und illegale Schleusung, habe ich in zudem Zweifel an der je- 
weiligen Erforderlichkeit derartiger Maßnahmen. Zwar sieht 
der Gesetzgeber in den §§ 81a, 81e StPO die generelle Nut- 
zungsmöglichkeit der molekular genetischen Untersuchung 
zur Aufklärung der Täterschaft in einem strafrechtlichen Er- 
mittlungsverfahren vor. Zum Zwecke der Identifizierung in 
künftigen Strafverfahren wird diese Nutzungsmöglichkeit 
aber auf Straftaten von erheblicher Bedeutung eingeschränkt 
(§ 81g StPO), weil mit der Speicherung dieser Muster in ei- 
ner Vorsorgedatei ein weiterer Eingriff in das informationeile 
Selbstbestimmungsrecht verbunden ist. 

Zudem entfällt die Erforderlichkeit eines DNA-ldentifizie- 
rungsmusters bei solchen Delikten, bei denen der Täter im 
Zusammenhang mit einer künftigen Straftat nicht typisch 
Identifizierungsmaterial am Tatort hinterlässt. Insbesondere 
bei Delikten der Urkundenfälschung und der Schleuser- 
kriminalität scheint mir dies der Fall zu sein. 

Die datenschutzrechtliche Kontrolle der DNA-Analyse-Da- 
tei hat dazu geführt, dass im Oktober 2002 der Präsident des 
Bundeskriminalamts eine geänderte Fassung der Errich- 
tungsanordnung zur DNA-Analyse-Datei im W ege der So- 
fortanordnung erlassen hat. Unter anderem sind danach auch 
der Bundesgrenzschutz und der Zoll befugt, DNA-Identifi- 
zierungsmuster auf konventionellem Wege zur Speicherung 
in der DNA-Analyse-Datei anzuliefern. Nach Angaben des 
BKA enthielt die DNA-Analyse-Datei am 26. November 
2002 insgesamt 236 347 DNA-ldentifizierungsmuster. Hier- 
von stammen 513 Datensätze vom BKA, 165 Datensätze 
vom Bundesgrenzschutz sowie 25 Datensätze von Dienst- 
stellen der Zollverwaltung. Ohne dem Ergebnis des mit mir 
noch gern. § 34 Abs. 1 Satz 2 BKA-Gesetz durchzuführen- 
den Anhörungsverfahrens zu der geänderten Errichtungsan- 
ordnung vorzugreifen, ist diese Regelung im Grundsatz zu 
begrüßen, löst sie doch den gesetzwidrigen Rückgriff auf die 
Amtshilfe ab. 

Zwischen dem BMI und mir besteht jedoch weiterhin ein 
Dissens in der Frage der rechtswirksamen Einwilligung des 
Betroffenen in die Erstell ung eines DNA-Musters zu Zwe- 
cken der Identifizierung in künftigen Strafverfahren und 
dessen Speicherung in der DNA-Analyse-Datei. Unter Hin- 
weis auf die Errichtungsanordnung zur DNA-Analyse-Datei 
ist nach Auffassung des BMI dies unter der V oraussetzung 
zulässig, dass die Einwilligung die Anforderungen des § 4a 


BDSG erfüllt. Dem liege die überwiegende Auf fassung in 
der Literatur zugrunde, dass eine dem Richter vorbehaltene 
Entscheidung nur dann erforderlich sei, wenn keine wirk- 
same Einwilligung in die Untersuchung erklärt worden sei. 

Demgegenüber unterliegt nach übereinstimmender Auf fas- 
sung der Landesbeauftragten für den Datenschutz und mir 
die Erstellung eines DNA-Identifizierungsmusters zum 
Zweck der Identitätsfeststellung in künftigen Strafverfahren 
gern. § 81g Abs. 1 und 3 i. Vm. § 8 1 f Abs. 1 StPO dem Rich- 
tervorbehalt, mit der Folge, da ss die anderslautende Rege- 
lung in der Errichtungsanordnung zur DNA-Analyse-Datei 
unwirksam ist (siehe 18. TB Nr 11. 6). ln der Begründung des 
Gesetzentwurfs, der zur Einführung des § 81g StPO geführt 
hat (Bundestagsdrucksache 13/10751), wird hierzu ausge- 
führt, dass der Richtervorbehalt als verfahrenssichemde 
Maßnahme gewährleiste, dass die im Rahmen von § 81g 

Abs. 1 StPO zu stellende Gefahrenprognose vom Richter ge- 
troffen werde. Das Erstelle n eines DNA-Identifizierungs- 
musters und dessen Speicherung in der DNA-Analyse-Datei 
allein auf der Grundlage der Einwilligung des Betrof fenen 
führt hingegen zum Wegfall dieser gesetzlich vorgesehenen 
Prognose, die aus Gründen der V erhältnismäßigkeit im Zu- 
sammenhang mit der Nutzung der DNA-Analyse in künfti- 
gen Strafverfahren in die Regelung des § 81g StPO Eingang 
gefunden hat. Der Richtervorbehalt hat darüber hinaus auch 
eine regulierende W irkung: Werden DNA-Muster nur auf 
Basis der Einwilligung des Betrof fenen gewonnen, besteht 
die Gefahr, dass dies zu einer latenten Erweiterung des An- 
wendungsbereichs des § 81g StPO führt, da zweifelhaft ist, 
ob in allen diesen Fällen der Richter der Durchführung einer 
molekulargenetischen Untersuchung zum Zwecke der Iden- 
tifizierung in künftigen Strafverfahren unter dem Gesichts- 
punkt der Erforderlichkeit zugestimmt hätte. 

Es besteht kein Zweifel, dass die DNA-Analyse und die 
Nutzung des DNA-Identifizierungsmusters geeignete Maß- 
nahmen zur Verhütung und Verfolgung von Straftaten sind. 
Die Aufklärung insbesondere vieler Kapitalverbrechen in 
der jüngsten Vergangenheit hat das anschaulich gezeigt. Vor 
diesem Hintergrund sind Überlegungen im politischen 
Raum, den Anwendungsbereich des § 81g StPO auszudeh- 
nen, verständlich und nicht von vomeherein als abwegig zu 
bezeichnen (siehe Nr. 8. 2. 3. 4). Sollte sich der Gesetzgeber 
dafür entscheiden, die Nutzung von DNA-ldentifizierungs- 
mustern gern. § 81g StPO zu erweitern, wäre dies der ge- 
eignete Zeitpunkt, durch eine entsprechende gesetzliche 
Regelung klarzustellen, dass der richterliche Anordnungs- 
vorbehalt der §§ 8 1 f Abs. 1,81g Abs. 3 StPO als Bestim- 
mung einer ausschließlichen Zuständigkeit im Zusammen- 
hang mit der Erstellung eines DNA-Identifizierungsmusters 
zum Zwecke der Identifizierung in künftigen Strafverfahren 
zu verstehen ist. Eine diesb ezügliche Klarstellung halte ich 
nicht nur aus den oben genannten Gründen für geboten. Sie 
würde auch die teils unterschiedliche Praxis im Bund, aber 
auch in den Ländern, bei der Erstellung von DNA-ldentifi- 
zierungsmustem gern. § 81g StPO vereinheitlichen. 

13.4 Gewalttäterdateien - Rechts - Links - 
Ausländer - angemessene Reaktion auf 
die politisch motivierte Kriminalität? 

Die deutliche Zunahme rechtsextremer Straftaten in Deutsch- 
land im Jahre 2000, insbesondere der dabei zu verzeichnende 
Anstieg politisch motivierter Gewalttaten, veranlasste die 
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Ständige Konferenz der Innenminister und -Senatoren der 
Länder (IMK) im November 2000 dazu, verschiedene Maß- 
nahmen zur Bekämpfung rechtsextremistischer, antisemitisti- 
scher und fremdenfeindlicher Kriminalität zu erörtern. Neben 
der Verwendung des personengebundenen Hinweises 
„REMO“ für Straftäter, bei denen Anhaltspunkte vorhegen, 
dass sie Straftaten aus rechts orientiert politisch motivierten 
Beweggründen begangen haben, in den INPOL-Dateien 
„Personenfahndung“, „Kriminalaktennachweis“ und „Erken- 
nungsdienst“ wurde insbesondere zur Verhinderung rechts- 
orientiert politisch motivierter Gewalttaten beschlossen, die 
bundesweite Datei „Gewalttäter rechts“ einzurichten. Da- 
rüber hinaus wurde beschlossen, rechte Störer im Rahmen 
der Gefahrenabwehr auf Länderebene zu speichern. Auf Ini- 
tiative Bayerns kam die IMK schließlich überein, diese Maß- 
nahmen auch auf linksorientiert politisch motivierte Straftä- 
ter und Straftäter politisch motivierter Ausländerkriminalität 
zu erstrecken. Hierzu sollten die personengebundenen Hin- 
weise „LIMO“ bzw. „AUMO“ verwendet werden sowie ent- 
sprechende „Gewalttäterdateien“ und Störerdateien auf Län- 
derebene eingerichtet werden. 

Der Personendatenbestand der „Gewalttäterdateien“ soll 
vorerst durch eine entsprechende Anlass/Zweck-Kombina- 
tion über die Datei „Personenfahndung“ zugänglich ge- 
macht werden. Aus Sicht der IMK sind politisch motivierte 
Straftaten wegen ihrer besonderen Bedeutung zudem grund- 
sätzlich bundesweit zu erfassen. 

Nach Aussage des BMI war Ziel dieser Maßnahmen, jedem 
Polizeibeamten im Bund und in den Ländern für die Sach- 
bearbeitung und für polizeiliche Kontrollen vor Ort entspre- 
chende personenbezogene Informationen über politisch mo- 
tivierte Kriminalität zur V erfügung stehen zu können, 
mithilfe derer geeignete polizeipräventive und/oder -repres- 
sive Maßnahmen ergriffen werden können. Die bisherigen 
Datenverarbeitungsmöglichkeiten hätten dies im Hinblick 
auf die geltenden Bestandsführungs- und Zugrif fsregelun- 
gen nicht gewährleistet: So stünde der Bestand der bereichs- 
spezifischen INPOL-Datei zum Polizeilichen Staatsschutz 
wegen der Sensibilität der darin enthaltenen, z. T. unbewer- 
teten Daten nur den Staatsschutzdienststehen des Bundes 
und der Länder zur Verfügung. Zudem gäbe der personenge- 
bundene Hinweis in INPOL über die jeweilige politische 
Motivation des Täters dem Polizeibeamten vor Ort nur inso- 
weit die entsprechende Inform ation, als diese Person auch 
zur Fahndung ausgeschrieben wäre. Erst durch die Einrich- 
tung der o. a. „Gewalttäterdateien“ und deren Abbildung in 
der Datei „Personenfahndung“ würde erreicht, dass bei je- 
der F ahndungsab frage vor Ort politisch motivierte Gewalt- 
täter bzw. gewaltbereite Personen einer polizeilichen Kon- 
trolle unterzogen werden könnten, unabhängig davon, ob zu 
ihnen eine aktuelle Fahndungsnotierung besteht. 

Meine ursprünglich gehegten Zweifel an der Erforderlich- 
keit und Verhältnismäßigkeit des von der IMK beschlosse- 
nen Maßnahmenkatalogs habe ich vor diesem Hinter grund 
zurückgesteht. Gleichwohl werfen die beschlossenen Ein- 
zelmaßnahmen eine Reihe von datenschutzrechtlichen Fra- 
gen auf. 

Über die datenschutzrechtlichen Aspekte der Einführung 
des personengebundenen Hinweises „REMO“ habe ich be- 
reits in meinem 18. TB (Nr. 11.1) berichtet. Die dort darge- 
legten Bedenken habe ich auch hinsichtlich der Einführung 


der personengebundenen Hinweise „LIMO“ und „AUMO“ 
in den Dateien „Personenfahndung“, „Kriminalaktennach- 
weis“ und „Erkennungsdienst“. 

Im Zusammenhang mit den Dateien „Gewalttäter Rechts“, 
„Gewalttäter Links“ und „Straftäter politisch motivierter 
Ausländerkriminalität“ stößt vor allem die vor gesehene 
Speicherung personenbezogener Daten zu so genannten 
sonstigen Personen i. S. v. § 8 Abs. 5 BKA-Gesetz auf daten- 
schutzrechtliche Bedenken. Bei dieser Personengruppe han- 
delt es sich weder um Beschuldigte noch um Tatverdächtige. 
Für eine V erarbeitung personenbezogener Daten zu diesen 
Personen setzt § 8 Abs. 5 BKA-Gesetz deshalb eine auf der 
Grundlage bestimmter T atsachen gestützte Straf fällig- 
keitsprognose voraus. Weil die Einschätzung der politischen 
Motivation einer Person unsich er und die Prognose, ob der 
Betroffene Straftaten von erheblicher Bedeutung begehen 
wird, die im ursächlichen Zusammenhang mit seiner politi- 
schen Orientierung stehen, ohneh in schwierig ist, sehe ich 
die Gefahr, dass - mangels anderer Anhaltspunkte - bereits 
eine bloße Störung als alleinig e Grundlage für die zu tref- 
fende Prognose herangezogen werden könnte. Dies könnte 
dazu führen, dass eine V ielzahl unbedeutender St örer oder 
sogar friedlicher De monstranten in eine r Verbunddatei des 
polizeilichen Infonnationssystems des Bundes und der Län- 
der geführt werden, die auf die V erfolgung und Verhütung 
von Straftaten von länderübergreifender, internationaler oder 
erheblicher Bedeutung abzielt. Zwar konnte im Rahmen der 
Erörterungen der Errichtungsanordnungen zu den jeweiligen 
Gewalttäterdateien erreicht werden, dass das Aussonde- 
rungsprüfdatum für sonstige Personen auf zwei Jahre festge- 
legt wird, mit der Folge, dass mit Ablauf dieser Frist die Ak- 
tualität des betreffenden Datensatzes und die Rechtmäßigkeit 
seiner weiteren Speicherung überprüft werden müssen. Mei- 
nem Vorschlag, aus Gründen der Verhältnismäßigkeit von ei- 
ner Speicherung dieses Personenkreises ganz abzusehen und 
ihn allenfalls in den auf Länderebene errichteten Störerda- 
teien zu erfassen, wurde allerdings nicht gefolgt. 

Vor dem Hintergrund, dass in den Gewalttäterdateien nur 
politisch motivierte Straftäter gespeichert werden sollen, die 
eine besondere Gewaltbereitschaft erkennen lassen, bedau- 
ere ich zudem, dass der in der jeweiligen Errichtungsanord- 
nung aufgeführte Straftatenkata log auch Straftatbestände 
enthält, die keinen Bezug zur Gewaltkriminalität aufweisen. 
Beispielhaft gilt dies für den Straftatbestand des Diebstahls 
(§ 242 des Strafgesetzbuches). Durch einen nachträglich 
eingefügten Zusatz in der jeweiligen Errichtungsanordnung, 
wonach auch bei diesem Straftatbestand aufgrund bestimm- 
ter Tatsachen eine Gewaltbereitschaft des Täters erkennbar 
sein muss, ist der erforderliche Bezug zur Gewaltkriminali- 
tät zumindest verdeutlicht worden. 

Für problematisch halte ich sc hließlich, dass nach der Er- 
richtungsanordnung nur der Zweck der jeweiligen Datei 
festgelegt werden muss. Für den Anwender entsteht der 
Eindruck, dass in jedem Fall personenbezogene Daten von 
Beschuldigten oder V erdächtigen in die Datei eingestellt 
werden sollen, sofern sie sich auf die dort aufgezählten 
Straftatbestände beziehen. Die Speicherung personen- 
bezogener Daten in einer beim BKA geführten V erbundda- 
tei i. S. v. § 11 Abs. 1 BKA-Gesetz ist aber nur zulässig, so- 
weit dies für das BKA nach Maßgabe des § 2 Abs. 1 BKA- 
Gesetz zur Verhütung und Verfolgung von Straftaten länder- 
übergreifender, internationaler oder erheblicher Bedeutung 
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in Wahrnehmung seiner Zentralstellenfunktion für die Poli- 
zeien des Bundes und der Länder erforderlich ist. Nur inso- 
fern kann eine bundesweite V erfügbarkeit personenbezoge- 
ner Daten, die einen Eingrif f besonderer Intensität in das 
Persönlichkeitsrecht darstellt, als verhältnismäßig angese- 
hen werden, ln der Gesetz esbegründung zu § 2 Abs. 1 
BKA-Gesetz hat der Gesetzgeber dazu ausgeführt, dass die 
INPOL-Relevanz in jedem konkreten Einzelfall gegeben 
sein müsse. Für die Feststellung einer Straftat von erheb- 
licher Bedeutung komme es nicht auf den abstrakten Cha- 
rakter eines Straftatbestandes, sondern vielmehr auf Art und 
Schwere der konkreten T at an. Dabei muss es sich bei der 
Anlasstat um ein Delikt handeln, welches mindestens der 
mittleren Kriminalität zuzurec hnen ist. Vor diesem Hinter- 
grund sind die in dem Straftatenkatalog u. a. aufgezählten 
Straftaten der Nötigung, des gefährlichen Eingrif fs in den 
Straßenverkehr, des Hausfriedensbruchs, des Diebstahls 
oder des W iderstands gegen V ollstreckungsbeamte nur in 
Ausnahmefällen von erheblicher Bedeutung, sofern sie 
nicht länderübergreifend begangen wurden. Meinem V or- 
schlag, eine Modifizierung der Zweckbeschreibung der je- 
weiligen Datei dahin gehend vorzunehmen, dass die Voraus- 
setzungen des § 2 Abs. 1 stärker zum Ausdruck kommen, 
wurde nicht gefolgt. Für die 1MK und das BMI haben viel- 
mehr politisch motivierte Ge walttaten grundsätzlich erheb- 
liche Bedeutung i. S. v. § 2 Abs. 1 BKA-Gesetz und bedür- 
fen daher der Abbildung in einer bundesweit zugänglichen 
Datei. 

Die Problematik der Verbunddateien „Gewalttäter Rechts“, 
„Gewalttäter Links“ und „Straftä ter politisch motivierter 
Ausländerkriminalität“ wird allein schon daran deutlich, dass 
das mit mir durchzuführende Anhörungsverfahren nach 
§ 34 Abs. 1 BKA-Gesetz und das sich anschließende Län- 
derbeteiligungsverfahren zu den jeweiligen Dateierrich- 
tungsanordnungen erst am 4. Ok tober 2002 abgeschlossen 
werden konnten. Dies obgleich die Amtsleitung des BKA 
bereits am 23. Januar 2001 die Einrichtung dieser Dateien 
per Sofortanordnung verfügt hatte . Mittlerweile enthält die 
Datei „Gewalttäter Rechts“ 1 807, die Datei „Gewalttäter 
Links“ 1 174 sowie die Datei „Straftäter politisch motivier- 
ter Ausländerkriminalität“ 338 Datensätze (Stand: jeweils 
15. Oktober 2002). 

Vor dem Hintergrund der von der IMK beschlossenen Maß- 
nahmen zur Bekämpfung der politisch motivierten Krimina- 
lität habe ich angeregt, den Katalog der bisher verwendeten 
personengebundenen Hinweise im Hinblick auf die Vermei- 
dung von Redundanzen zu überarbeiten sowie zu überprü- 
fen, inwieweit auf derzeit genutzte Dateianwendungen zur 
Abbildung der politisch motivierten Kriminalität verzichtet 
werden kann. Ich begrüße es, dass die IMK entsprechende 
Beschlüsse gefasst hat. 

13.5 Gipfeltreffen in Göteborg und 
in Genua 2001 - Rolle des BKA 

Die Berichterstattung anlässlich des Europäischen Rates in 
Göteborg und des Weltwirtschaftsgipfels der G8-Staaten in 
Genua im Sommer 2001 über die von Bund und Ländern 
durchgeführten Maßnahmen zur V erhinderung von Aus- 
schreitungen deutscher Staatsangehöriger sowie Eingaben 
hiervon Betroffener an mich und die Landesbeauftragten für 
den Datenschutz haben mich veranlasst, die vom BKA in 


diesem Zusammenhang er griffenen Maßnahmen zu über- 
prüfen. 

Das BKA ist gern. § 3 BKA-Gesetz Nationales Zentralbüro 
Deutschland für die Internationale Kriminalpolizeiliche Or- 
ganisation (IKPO-Interpol). ln dieser Funktion obliegt ihm 
der polizeiliche Nachrichtena ustausch mit ausländischen 
Polizei- und Justizbehörden. Nach Maßgabe des § 14 BKA- 
Gesetz erfolgen Datenübermittlungen an ausländische Stel- 
len insbesondere zur Straftatenverhütung und zur Gefahren- 
abwehr, aber auch im Rahmen der Rechtshilfe. 

In Erfüllung dieser Aufgabe wurden nach Mitteilung des 
BKA im Zusammenhang mit dem Weltwirtschaftsgipfel G8 
in Genua den zuständigen ita lienischen Behörden im V or- 
feld Daten von 191 deutschen Staatsangehörigen übermit- 
telt, die in Dateien des polizeilichen Informationssystems 
des Bundes und der Länder gespeichert waren. Die Auswahl 
der übermittelten Personendatensätze sei auf der Grundlage 
der beim BKA vorliegenden Erkenntnisse mit Globalisie- 
rungsbezug erfolgt und habe sich auf Beschuldigte und auch 
sonstige Personen im Sinne von § 8 Abs. 5 BKA-Gesetz be- 
zogen. Dagegen seien im V orfeld des EU-Gipfels in Göte- 
borg keine Personendaten überm ittelt worden. Dies sei erst 
dann geschehen, als schwedische Behörden, z. B. aus Anlass 
einer Fahrzeug- oder Personenkontrolle, eine Erkenntnisan- 
frage zu deutschen Staatsangehörigen an das BKA gerichtet 
hätten. 

Ich habe gegen die Übermittlung personenbezogener Infor- 
mationen an ausländische Polizeibehörden zum Zwecke der 
Verhinderung und Ahndung von Ausschreitungen bei Groß- 
veranstaltungen keine Einwände, wenn die diesbezüglichen 
Voraussetzungen des BKA-Gesetzes erfüllt sind. Jedoch 
müssen die Daten in den Dateien des polizeilichen Informa- 
tionssystems - in der Regel handelt es sich dabei um Er- 
kenntnisse des polizeilichen Staatsschutzes - zum Zeitpunkt 
ihrer Übermittlung aktuell und noch zulässig gespeichert 
sein. Bei der Bearbeitung von Auskunftsbegehren von Per- 
sonen, die im Vorfeld der Veranstaltungen in Göteborg und 
Genua von polizeilichen Maßnahmen betrof fen waren, ha- 
ben meine Länderkollegen und ich festgestellt, dass dies 
nicht immer der Fall war. Unter anderem war hierfür die un- 
terlassene Pflege des Datenbe Standes in den betref fenden 
Dateien, die durch die zum T eil zu langen Aussonderungs- 
prüffristen begünstigt wird, die Ursache, ln den von mir be- 
arbeiteten Fällen lag die datenschutzrechtliche V erantwor- 
tung für diese V ersäumnisse allerdings bei dem Land, das 
den betreffenden Datensatz in die Datei eingestellt hatte. 
Gleichwohl stellt sich die Frage nach der Verantwortung des 
BKA in seiner Funktion als Zentralstelle, wenn es derartige 
Datensätze an ausländische Stellen übermittelt. Ich stimme 
mit dem BKA darin überein, dass es sich im Zusammen- 
hang mit einer Datenübermittlung nach § 14 Abs. 1 BKA- 
Gesetz grundsätzlich darauf verlassen muss, dass die in den 
Dateien des polizeilichen Infonnationssystems eingestellten 
Daten rechtmäßig erhoben worden sind und deren Speiche- 
rung zum Zeitpunkt der Übermittlung noch zulässig ist. Aus 
der dem BKA vom Gesetzgeber in § 14 Abs. 7 BKA-Gesetz 
übertragenen Verantwortung für die Zulässigkeit der Über- 
mittlung personenbezogener Daten an öf fentliche Stellen 
außerhalb des Geltungsbereichs des BKA-Gesetzes folgt 
aber eine umso höhere Überprüfüngs- und Sor gfaltspflicht, 
je sensibler die Daten sind, di e übermittelt werden sollen. 
Dies gilt insbesondere für Dateien des polizeilichen Staats- 
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Schutzes, in denen auch so genannte weiche Daten verarbei- 
tet werden und auf die wegen ihres sensiblen Charakters 
bereits im Inland Zugrif fsbeschränkungen zugunsten be- 
stimmter Spezialdienststellen bestehen. Eine genauere 
Überprüfung ist besonders dann geboten, wenn Anhalts- 
punkte dafür bestehen, dass de r zu übermittelnde Datensatz 
unzulässig gespeichert ist. Ich habe gegenüber dem BKA 
deutlich gemacht, dass dies künftig stärker zu beachten ist. 

Datenschutzrechtlich problematisch sind auch die Datenver- 
arbeitungsmaßnahmen des BKA im Nachgang zu den Er- 
eignissen bei den Gipfeltref fen in Götebor g und Genua. 
Dem BKA wurden von den schwedischen bzw. italienischen 
Behörden personenbezogene Daten von Personen, die einer 
polizeilichen Kontrolle unterzogen worden waren, sowie 
von Personen, gegen die vor Ort Ermittlungsverfahren we- 
gen strafbarer Handlungen eingeleitet worden waren, über- 
mittelt. Nach Auskunft des BKA seien Daten von Personen, 
gegen die Ermittlungsverfahren eingeleitet worden waren, 
vom BKA u. a. in der Verbunddatei des polizeilichen Staats- 
schutzes gespeichert worden. Daten zu Personen, die ledig- 
lich einer polizeilichen Kontrolle unterzogen, gegen die 
aber keine weiteren strafprozessualen Maßnahmen durchge- 
führt worden waren, seien ausschließlich in die Auswerte- 
datei „Global“ (s. Nr. 13.2.2) eingestellt worden. Ich habe 
insbesondere Zweifel an der Zulässigkeit der zuletzt ge- 
nannten Maßnahmen. Die Speicherung von Personen allein 
aufgrund des Umstandes, dass sie einer Personenkontrolle 
unterzogen und zu ihnen Erkenntnisanfragen an das BKA 
gerichtet worden sind, ist weder mit dem Zweck der Datei 
„Global“ vereinbar noch ist dies erforderlich zur Erfüllung 
der Zentralstellenaufgabe des BKA. Ziel der Auswertedatei 
„Global“ ist es, Informationen über Ereignisse sowie Perso- 
nen im Zusammenhang mit gewalttätigen Aktionen und an- 
deren Straftaten militanter Globalisierungsgegner auszu- 
werten, um den Polizeien des Bundes und der Länder bei 
der Verfolgung und V erhütung der Straftaten mit länder- 
übergreifender, internationaler oder erheblicher Bedeutung 
neue Bekämpfungsansätze zu vermitteln. Dies wird von mir 
nicht infrage gestellt. Die damit verbundenen Speicherun- 
gen dürfen jedoch nicht solche Personen umfassen, zu 
denen die Erkenntnisanfragen der ausländischen Polizei- 
behörden keinen polizeirelevanten Bestand in Deutschland 
erbracht haben, die also lediglich von ihrem Recht auf De- 
monstrationsfreiheit Gebrauch gemacht haben. Die Speiche- 
rung dieses Personenkreises in einer polizeilichen Datei ist 
nicht zulässig, selbst wenn daraus keine Datenübermittlun- 
gen an andere Stellen stattfinden. 

Im Hinblick auf die Aufgabe des BKA als Zentralstelle der 
Polizeien des Bundes und der Länder kann es erforderlich 
werden, von deutschen Staats bürgern im Ausland began- 
gene Straftaten in den Dateien des polizeilichen Informati- 
onssystems nach Maßgabe des § 2 Abs. 1 BKA-Gesetz zu 
speichern, um künftig gleichgelagerte oder ähnliche Strafta- 
ten im ln- oder Ausland verhüten zu können. Dabei ist aller- 
dings immer auf den konkreten Einzelfall abzustellen. Eine 
Körperverletzung oder eine Sachbeschädigung, die im In- 
land lediglich regionale Bedeutung hätte, wird nicht da- 
durch zu einer INPOL-relevanten Straftat im Sinne von § 2 
Abs. 1 BKA-Gesetz, weil sie im Ausland begangen worden 
ist. Maßgebend müssen die Umstände des Einzelfalls unter 
Beachtung des V erhältnismäßigkeitsgrundsatzes bleiben. 
Vor diesem Hintergrund kann es gerechtfertigt sein, Perso- 


nen, die an gewalttätigen Demonstrationen in Göteborg und 
in Genua teilgenommen haben und gegen die seitens der 
schwedischen bzw. italienischen Behörden Ermittlungsver- 
fahren eingeleitet worden sind, in den V erbunddateien des 
polizeilichen Staatsschutzes zu speichern. Eine besondere 
Interessenabwägung ist aber dort zu tref fen, wo die Um- 
stände, die zu den Anschuldigungen geführt haben - wie bei 
den Festnahmen von Demonstranten in der „Diaz-Schule“ 
in Genua - zweifelhaft sind, ln diesen Fällen hielte ich es 
für angemessen, wenn die betref fenden Personen zunächst 
nur für eine kurze Dauer in den betref fenden Dateien ge- 
speichert würden und vor deren weiterer V erlängerung zu- 
nächst Informationen über den Stand des der jeweiligen 
Speicherung zugrunde liegenden Ermittlungsverfahrens bei 
den Behörden eingeholt werden müssten. Aus Sicht des 
BKA wäre es mit einem unverhältnismäßigen Aufwand ver- 
bunden, regelmäßig nach dem Sachstand im Ausland einge- 
leiteter Ermittlungsverfahren fragen zu müssen. Hierzu be- 
stehe auch keine gesetzliche V erpflichtung. ln der Regel 
erfolge eine Nachfrage durch ein Auskunftsersuchen des 
Betroffenen. Ergäben sich daraus Anhaltspunkte für eine 
Löschung, käme das BKA dieser Verpflichtung gern. § 32 
Abs. 2 BKA-Gesetz nach. 

Diese Vorgehensweise des BKA wird bei künftigen „Gipfel- 
treffen“ insbesondere im Hinblick auf ihre Bedeutung in der 
Praxis einer eingehenden Beobachtung zu unterziehen sein. 

13.6 Rechtstatsachensammelstelle des BKA 
ohne Impulse 

Auch im Berichtszeitraum ha t die Arbeit der beim BKA 
eingerichteten Rechtstatsachensammelstelle keine neuen 
Impulse erhalten. Gleiches gilt für den Gesprächskreis 
„Rechtstatsachen“, der zuletzt im März 1999 zu einem Mei- 
nungsaustausch über Initiativen auf dem Gebiet der Rechts- 
tatsachenforschung zusammengetroffen ist. Von der Arbeit 
der Rechtstatsachensammelstelle des BKA und meiner Ab- 
sicht, Gespräche mit dem BMI über geeignete Schritte zur 
Verbesserung der Situation zu führen, habe ich im 18. TB 
(Nr. 1 1 .9) berichtet. In diesen Gesprächen habe ich vor ge- 
schlagen, das aus dem Jahre 1995 stammende Themenras- 
ter, welches der bei der Rechtstatsachensammelstelle ge- 
führten Bund/Länder-Fallsammlung zugrunde liegt, der 
neueren Entwicklung im repressiven und präventiv-polizei- 
lichen Bereich und den damit verbundenen Datenerhe- 
bungsbefugnissen der Polizei anzupassen. Zudem halte ich 
es für erforderlich, dass sich künftig alle Länderpolizeien 
wieder regelmäßig und umfassend an der Infonnationsan- 
lieferung beteiligen. Schließl ich sollte es der Rechtstat- 
sachensammelstelle über das Sammeln von Rechtstatsachen 
hinaus erlaubt werden, eigene Analysen des Infonnations- 
materials, statistische Auswertungen oder Schwerpunkt- 
bildungen innerhalb der ange lieferten Falldarstellungen 
vorzunehmen. Nur so lassen sich aus meiner Sicht aussage- 
kräftige empirische Erkenntnisse als Basis für Gesetzesini- 
tiativen und -evaluationen dur ch den Gesetzgeber gewin- 
nen. Langfristiges Ziel muss es aus meiner Sicht sein, die 
bestehenden Befugnisse der Polizeien zu Eingrif fen in das 
Persönlichkeitsrecht ergebnisoffen und ggf. durch eine un- 
abhängige Forschungseinrichtung auf Grundlage der zu- 
sammengetragenen Rechtstatsachen überprüfen zu lassen. 
Das BMI hat - allerdings unter Hinweis auf die Zuständig- 
keit der Länder für den Bereich der präventiv-polizeilichen 
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Eingriffsbefugnisse - meinen Vorschlägen im Wesentlichen 
zugestimmt. Geschehen ist gleichwohl wenig. Zwar hat der 
Arbeitskreis 11 der Ständige n Konferenz der Innenminister 
und -Senatoren der Länder im Oktober 2001 beschlossen, 
das Themenraster der Rechts tatsachensammelstelle des 
BKA zu aktualisieren. Ob auch die Ankündigung des BMI, 
das BKA mit Vorschlägen zur Reform der Rechtstatsachen- 
sammlung im Verbund von Bund und Ländern zu beauftra- 
gen sowie meine Vorschläge den Innenministern der Länder 
unterbreiten zu wollen, in die T at umgesetzt wurde, ist mir 
nicht bekannt. Meine Sachstandsanfragen gegenüber dem 
BMI zu diesem Thema sind bisher unbeantwortet geblieben. 
Die ebenfalls vom BMI vorgesehene Fachtagung im Herbst 
2001 zu Fragen der Rechtstatsachensammlung, bei deren 
Vorbereitung auch ich mit einbezogen werden sollte, ist aber 
offenbar nicht durchgeführt worden. 

Der Gesetzgeber hat zunehmend die Bedeutung der Evaluie- 
rung von Gesetzen, insbesondere bei Eingriffsbefugnissen in 
die Persönlichkeitsrechte der Bür ger, anerkannt. Beginnend 
mit den Berichtspflichten gern. § lOOe Strafprozessordnung 
im Zusammenhang mit der akustischen W ohnraumüberwa- 
chung (siehe auch Nr. 8.4) sind im Terrorismusbekämpfungs- 
gesetz erstmals die V oraussetzungen für eine Erfolgskont- 
rolle und die V erpflichtung zur Evaluierung gesetzlich 
geregelt worden (s. Nr. 2.3. T). Das informationelle Selbstbe- 
stimmungsrecht wird aber auch durch die präventiv-polizei- 
lichen Eingriffsbefugnisse sowie die darauf beruhenden Da- 
tenerhebungs- und -Verarbeitungsbefugnisse tangiert. Auch 
wenn Polizeiangelegenheiten im Wesentlichen in die Zustän- 
digkeit der Länder fallen, zeigen die verschiedenen Formen 
der Zusammenarbeit von Bund und Ländern bei der polizeili- 
chen Datenverarbeitung, dass die Evaluierung dieser Befug- 
nisse auch eine Angelegenheit des Bundes ist. Der Umstand, 
dass die Rechtstatsachensammelstelle im BKA seit ihrer 
Gründung lediglich befugt ist, die ihr angelieferten rechtstat- 
sächlichen Infonnationen zu registrieren und zu dokumentie- 
ren und seit Jahren keine Initiativen festzustellen sind, diesen 
Zustand zu verbessern, verdeutlicht, dass zu dem Thema der 
Evaluierung polizeilicher Eingrif fsbefügnisse noch erheb- 
liche Anstrengungen unternommen werden müssen. 

13.7 Geldwäschebekämpfungsgesetz 

Die Ereignisse vom 11. September 2001 (siehe Nr. 2 ) führten 
auch zu verstärkten Bemühung en der Bundesregierung, die 
Geldwäschebekämpfung effizienter zu gestalten, verbunden 
mit dem weiteren Ziel, die Finanzströme des internationalen 
Terrorismus offen zu legen. Ferner war Deutschland gehal- 
ten, die Umsetzung der novellierten Geldwäscherichtlinie 
2001/97/EG des Europäischen Parlaments und des Rates 
vom 4. Dezember 2001 zur Änderung der Geldwäschericht- 
linie aus dem Jahr 1991 voranzutreiben. Daraus entstand der 
Entwurf eines Geldwäschebekä mpfungsgesetzes unter Fe- 
derführung des BMI, der schließlich am 18. August 2002 als 
Gesetz zur Verbesserung der Bekämpfung der Geldwäsche 
und der Bekämpfung der Finanzierung des T errorismus 
(Geldwäschebekämpfungsgesetz) in Kraft trat (BGBl. 1 S. 
3105f). Das Gesetz beinhaltet neben Änderungen des Geld- 
wäschegesetzes auch Änderungen des Zollverwaltungsge- 
setzes, des Gesetzes über da s Kreditwesen und des BKA- 
Gesetzes. 

Die Vorschläge zur Änderung des Geldwäschegesetzes sind 
sowohl für die verpflichteten Stehen — wegen ihrer Anfor- 


derungen—, aber auch aus datenschutzrechtlicher Sicht nicht 
unproblematisch. Ich hatte sc hon in früheren Tätigkeits- 
berichten (s. u. a. 18. TB Nr. 1 1.5) daraufhingewiesen, dass 
die Einbeziehung der Daten von Personen, gegen die sich 
kein konkreter strafrechtlicher Anfangsverdacht im Sinne 
des § 152 Abs. 2 Strafprozessordnung erhärten lässt, in die 
beim BKA geführte Geldwäschedatei verstärkter daten- 
schutzrechtlicher Beobachtung bedarf. 

Unter dieser Prämisse habe ich gegen einige Vorschläge der 
Bundesregierung im o. g. Gesetzentwurf erhebliche daten- 
schutzrechtliche Bedenken vorgebracht. So sieht das Gesetz 
u. a. eine erweiterte Identifizierungspflicht bei der Auf- 
nahme von Geschäftsbeziehungen vor . Hier habe ich be- 
mängelt, dass die Feststellung der Identitätsangaben, soweit 
dies durch eine Kopie des Ausweisdokuments erfolgt, auch 
ohne Einwilligung des Betrof fenen erfolgen darf, was zur 
Speicherung von mehr personenbezogenen Daten führt, als 
für diesen Zweck erforderlich ist. Ich habe ferner gerügt, 
dass die Einbeziehung von Angehör igen der freien Berufe, 
u. a. Rechtsanwälte, Notare, W irtschaftsprüfer usw., in den 
Kreis der anzeigepflichtigen Stellen nach § 3 Geldwäsche- 
gesetz (GwG) mit den für diese Berufsgruppen geltenden 
Verschwiegenheitspflichten nicht vereinbar ist. Diesen Ziel- 
konflikt hat der Gesetzgeber für die Angehörigen der vorge- 
nannten Berufsgruppen dadurch gelöst, dass sie von der An- 
zeigepflicht befreit sind, soweit sie ihre Infonnationen bei 
der Rechtsberatung oder Prozessvertretung des Mandanten 
erhalten haben. Im Übrigen leiten sie die Anzeige an die für 
sie zuständige Bundesberufskammer. Das schon bisher be- 
stehende Verbot einer Unterrichtung der Betrof fenen über 
eine Anzeige oder ein eingeleitetes Strafverfahren bleibt be- 
stehen. 

Gegen die Beauftragung des Bundeskriminalamtes als Finan- 
cial Intelligence Unit-FlU - i. S. der FATF - für die Bundes- 
republik Deutschland, das auch den Datenaustausch mit den 
entsprechenden Geldwäschezentralstellen anderer Staaten 
übernimmt, habe ich keine grundlegenden datenschutzrecht - 
lichen Bedenken erhoben. Für weiterhin bedenklich halte 
ich jedoch die Regelung, wona ch Geldwäscheverdachtsan- 
zeigen nicht nur den zuständigen Strafverfolgungsbehörden, 
sondern zeitgleich in Kopie dem Bundeskriminalamt „Zen- 
tralstelle für Verdachtsanzeigen“ zu übermitteln sind. Damit 
erhält das BKA ungefilterte Infonnationen aus Verdachtsan- 
zeigen, ohne dass die strafrechtliche Relevanz dieser Anga- 
ben von den zuständigen Behörden zuvor überprüft worden 
ist. Das BKA darf diese V erdachtsanzeigen nach § 5 GwG 
sammeln und auswerten. Hierunter fällt auch der Abgleich 
mit anderen beim BKA geführ ten Dateien, was eine erheb- 
liche Ausweitung der Zentralstellenkompetenz des BKA 
darstellt. Damit wird meine Besorgnis verstärkt, dass in der 
Geldwäschedatei beim Bundeskriminalamt jahrelang Daten 
über Personen gespeichert werden, die weder als Beschul- 
digte noch als V erdächtige im Sinne des § 8 BKA-Gesetz 
anzusehen sind. Daran ändert auch der Umstand nichts, dass 
in § 1 1 Abs. 9 GwG erweiterte Mitteilungsp flicht en der 
Staatsanwaltschaft gegenüber dem Bundeskriminalamt über 
den Ausgang von Strafverfahren in Fällen von Geldwäsche- 
verdachtsanzeigen statuiert werden. Betrachtet man die bis- 
herigen Auswertungen zu strafrechtlichen Ermittlungen in 
Geldwäschefällen, so ist nicht auszuschließen, dass ein er- 
heblicher Anteil der wegen Geldwäscheverdachts angezeig- 
ten Personen rein zur Vorsorge in polizeilichen Dateien j ah- 
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relang erfasst bleiben. Mit dieser Blickrichtung werde ich 
die Geldwäschedatei einer datenschutzrechtlichen Kontrolle 
unterziehen. 

13.8 INPOL-neu: Neuer Anlauf 

Das Projekt der Fortentwicklung des polizeilichen Informa- 
tionssystems von Bund und Ländern - INPOL-neu - hat im 
April 2001 eine Zäsur erfahren: 

Im Rahmen der zu diesem Zeitpunkt vor gesehenen Einfüh- 
rung wurde festgestellt, dass die für das System bestimmte 
Software im Hinblick auf das Antwort-Zeit-V erhalten bei 
Erkenntnisabfragen den polizeifachlichen Anforderungen 
nicht entsprach. Zwar konnten die Schwächen der Software 
in der Folgezeit behoben werden, doch wurden wegen des 
komplexen Entwicklungsansatzes der INPOL-neu Konzep- 
tion weitere Realisierungsrisiken gesehen. Diese bestanden 
unter anderem darin, alle INPOL-Daten nur einmal in einer 
Datenbank zu erfassen mit der Folge, dass die Polizeibehör- 
den in Bund und Ländern INPOL-neu hätten gleichzeitig in 
Betrieb nehmen müssen, um Zugang zu der Datenbank zu 
erhalten. Bund und Länder verständigten sich daher auf eine 
Alternativplanung, die zu einer Neuausrichtung der ur- 
sprünglichen Projektstrategie führte. Die durch Beschluss 
der Ständigen Konferenz der Innenminister und -Senatoren 
der Länder festgelegten Eckpunkte des neuen Konzepts se- 
hen nunmehr in mehreren Schritten die Entwicklung von 
zwei Datenbanken - einer operativen und einer so genannten 
dispositiven - vor. Die operative Datenbank, die vorrangig 
realisiert werden soll, ist sp eziell auf polizeiliche Standard- 
abfragen (Erkenntnisabfragen, Fahndung) zugeschnitten 
und soll 80 % der Anwendunge n abdecken. Daneben soll 
die auf komplexe Recherche- und Analysezwecke zuge- 
schnittene dispositive Datenbank in einem späteren Entwick- 
lungsschritt verwirklicht werden, wobei die im Rahmen des 
ursprünglichen Projekts bereits entwickelten Systemkompo- 
nenten genutzt werden sollen. Die neue Produktversion von 
INPOL-neu soll zudem sicherst eilen, dass sich die Länder 
entsprechend der von ihnen erzielten Realisierungsfort- 
schritte individuell auf das neue INPOL-System aufschalten 
können bei gleichzeitiger Beibehaltung der Funktionalität 
von INPOL-aktuell bis zu diesem Zeitpunkt. Bei ihrer Pla- 
nung gehen BMI und BKA davon au s, dass am 16. August 
2003 INPOL-aktuell abgeschaltet werden kann. 

Die mit der Realisierung de s überarbeiteten Konzepts 
INPOL-neu verbundenen Neuerungen zeichnen sich bereits 
ab: So soll die Benutzeroberfläche für die Nutzer des Sys- 
tems mittels Intemettechnologi e modernisiert werden. Zu- 
dem wird angestrebt, Personendaten um Lichtbilder zu er- 
weitern, so genannte Kombi-Abfragen z. B. zu Schengen 
und INPOL in einer Auskunft zu ermöglichen sowie Fallda- 
tengruppen zu eröffnen, in denen Infonnationen zu Perso- 
nen und Sachen mit einem bestimmten Fall verbunden wer- 
den können. 

Die Datenschutzbeauftragten des Bundes und der Länder 
haben die bisher gut zehnj äh rige konzeptionelle Arbeit am 
Projekt INPOL-neu fortlaufend begleitet. Über die dabei 
aufgetretenen datenschutzrechtlichen Probleme habe ich re- 
gelmäßig berichtet (zuletzt 18. TB Nr. 1 1 .2). Auch wenn die 
nunmehr beschlossene Revision des Entwicklungskonzepts 
faktisch einen Neustart des Projekts INPOL-neu bedeutet, 
behalten die von den Datenschutzbeauftragten in der V er- 


gangenheit zum Projekt INPOL-neu gefassten Beschlüsse 
und ergänzend erteilten Hinweise zum großen Teil ihre Ak- 
tualität. Dies gilt z. B. für den Umfang der Protokollierung 
von Abrufen aus dem polizeilichen Informationssystem 
(1 7. TB Nr. 11.9) oder die Abbildung der kriminellen Histo- 
rie zu einer Person (18. TB Nr. 1 1.2.2). Die Datenschutzbe- 
auftragten des Bundes und der Länder werden auch weiter- 
hin die mit der Neuausrichtung des Projekts INPOL-neu 
angestrebten Veränderungen im polizeilichen Informations- 
system des Bundes und der Länder unter datenschutzrechtli- 
chen Gesichtspunkten bewerten. Hierüber werde ich auch 
künftig regelmäßig berichten. 

13.9 AFIS - Automatisiertes Fingerabdruck- 
identifizierungssystem 

Rund zehn Jahre nach Einführung des automatisierten Fin- 
gerabdruckidentifizierungssystems AFIS, das die krimina- 
listische Arbeit der deutschen Polizei entscheidend verbes- 
sert hat, ist beim Bundeskriminalamt und den 
Landeskriminalämtern ein neues Verfahren eingeführt wor- 
den, das die Identifizierung von Straftätern auch mithilfe 
von Handflächenabdrucken ermöglichen soll. Während bis- 
her nur Fingerabdrucke und Fingerabdruckspuren zur Identi- 
fizierung ausgewertet wurden, sollen zukünftig auch Hand- 
flächenabdrucke und Handflächenspuren den Täter 
überführen helfen. Dies wird erleichtert mittels des neuen 
Verfahrens „METAMORPHO“. Die Auswertung der Hand- 
flächen, in Ergänzung der bisherigen zehn Fingerkuppen, 
bringt nach Auffassung der Polizei einen bedeutenden Fort- 
schritt, zumal ein beträchtlicher Teil der hinterlas senen Spu- 
ren von Handflächen stammen soll. 

Nicht zuletzt können mit „MET AMORPHO“ auch Hand- 
flächenspuren verglichen werden, die bereits in der Vergan- 
genheit am T atort gesichert, aber nicht automatisiert aus- 
gewertet werden konnten. Zu diesem Zweck ist noch im 
Jahre 2002 ein Kontingent von ca. 500 000 Handflächen- 
abdrucken, die von den Ländern stammen, bei der ameri- 
kanischen Tochter eines französischen Unternehmens digi- 
talisiert worden, um anschlie ßend in AFIS eingestellt zu 
werden. Die Einspeisung in AFIS war zum 23. Januar 2003 
abgeschlossen. Dies bedeutet, dass lediglich ein Drittel des 
insgesamt vorhandenen Materials — wahrscheinlich infolge 
haushaltsrechtlicher Zwänge - kodiert wurde, wobei sich 
der auf die einzelnen Länder entfallende Anteil nach einem 
bestimmten Schlüssel richtet. Die Landeskriminalämter 
können nun mit Handflächenspuren in diesem Datenbestand 
recherchieren. 

Ich habe eher zufällig von diesem neuen Verfahren Kenntnis 
erlangt, nachdem ein Pilotversuch mit entsprechendem Spu- 
renmaterial aus Sachsen bereits abgeschlossen war Der Ver- 
trag zur retrograden Erfassung der Abdrucke aus den übri- 
gen Ländern wurde dann im September 2002 vom 
Beschaffungsamt des BMI mit dem französischen Unter- 
nehmen abgeschlossen. Genau genommen handelt es sich 
um die Aktualisierung und Ergänzung eines bereits aus dem 
Jahre 1992 stammenden V ertrages zur Einführung von 
AFIS. Auf meine Frage, warum ich bei dieser Aktion, die 
heikle datenschutzrechtliche Fragen, insbesondere wegen 
der Verbringung und Verarbeitung des sensiblen Materials 
in die USA aufwirft, nicht beteiligt worden bin, wurde vom 
BMI auf meine damalige umfangreiche Beteiligung bei der 
Ausarbeitung des ursprünglichen V ertragswerkes in den 
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Jahren 1991/92 verwiesen. Dies ist in der T at zutreffend, 
doch hätte mich das BMI bei einer so weitreichenden Ak- 
tion vorab beteiligen müssen, zumal meine Kontrollfünktion 
seinerzeit im V ertragstext ausdrücklich festgeschrieben 
worden war. Diese Passage ist auch heute noch in Kraft. Ich 
habe gegenüber dem BMI darauf hingewiesen, dass das 
neue Verfahren eine Anpassung der bestehenden Errich- 
tungsanordnungen (vgl. 18. TB Nr. 11.7) und ggf. auch der 
„Erkennungsdienstlichen Richtlinien“ erforderlich macht. 
Über die Auswirkungen der neuen Methode auf den Persön- 
lichkeitsschutz werde ich mich in angemessener Zeit nach 
Aufnahme des Wirkbetriebes unterrichten lassen. Im Übri- 
gen gehe ich davon aus, in wichtigen Angelegenheiten der 
Informationstechnik in Zukunft durch das BMI/BKA recht- 
zeitig unterrichtet zu werden. 

Beim Verfahren AFIS ist - parallel zur Einführung von 
Eurodac (vgl. Nr. 7.2. T) - mit weiteren Änderungen zu rech- 
nen. So haben bereits erste Feldversuche mit der so genann- 
ten „Livescan“-Technologie im Polizeibereich stattgefün- 
den. Damit werden Fingerabdrucke in Zukunft digital, also 
nicht mehr mit der — auch den Laien vertrauten - Drucker- 
schwärze aufgenommen und in AFIS eingespielt. Das oben 
erwähnte „METAMORPHO“-Verfahren wird dabei die An- 
bindung solcher „Livescan“-Stationen an das weiterhin vom 
BKA betriebene AFIS ermöglichen. Damit wird langfristig 
die beim BKA vorgehaltene Sammlung von Fingerabdruck- 
blättem obsolet werden; an ihre Stehe wird eine „papier- 
lose“ Sammlung treten. 

14 Bundesgrenzschutz 

14.1 Datenschutzrechtliche Kontrollen beim 

BGS - Datenschutz weiterhin 
verbesserungsbedürftig 

Auch im Berichtszeitraum habe ich wieder bei mehreren 
Bundesgrenzschutzämtern die Datenverarbeitung zu poli- 
zeilichen Zwecken sowohl unter rechtlichen als auch unter 
technisch-organisatorischen Gesichtspunkten einer daten- 
schutzrechtlichen Kontrolle unterzogen. Besonderes Au- 
genmerk habe ich dabei erneut auf die Verarbeitung perso- 
nenbezogener Daten im Bundesgrenzschutzaktennachweis 
(BAN) gelegt. V ielfach stellten sich dabei die gleichen 
Probleme heraus, die ich bereits in früheren Berichten über 
datenschutzrechtliche Kontrollen angesprochen hatte 
(s. 18. TB Nr. 12.2). 

Nach meinen Feststellungen ist der BAN zum T eil auch 
zweckentfremdet genutzt worden: Dies betrif ft die Erfas- 
sung von Personen, für die eine V erpflichtungserklärung 
nach dem Ausländer gesetz (AuslG) abgegeben wurde, so- 
wie von Drittstaatsangehörigen, die vom BGS rückgeführt 
wurden, ln beiden Fällen ist der Nachweis personenbezoge- 
ner Akten im BAN weder zur Erfüllung der dem BGS oblie- 
genden Aufgaben auf dem Gebiet der Strafverfolgung noch 
auf dem Gebiet der Gefahrenabwehr gemäß der Zweckbe- 
schreibung der Datei BAN zulässig. Da die V erpflichtung 
gemäß § 34 Abs. 1 AuslG grundsätzlich gegenüber der Aus- 
länderbehörde zu erklären ist, wird der Bundesgrenzschutz 
in den Fähen, in denen diese bei der Einreise abgegeben 
wird, lediglich in Amtshilfe für die zuständige Behörde 
tätig. Gleiches gilt im Fall der Rückführung von Drittstaats- 
angehörigen. Gemäß § 63 AuslG sind die Ausländerbehör- 
den generell zuständig für al le aufenthaltsrechtlichen Maß- 


nahmen nach dem Ausländergesetz. Hierzu gehören u. a. die 
Abschiebung einschließlich deren Vorbereitung und Durch- 
führung. Nur sofern die Ausländerbehörde die Rückführung 
mit eigenen Mitteln durchführen kann, obliegt diese gern. 

§ 63 Abs. 4 AuslG den Grenzschutzbehörden. Diese werden 
somit nicht in Erfüllung ihrer polizeilichen Aufgaben nach 
dem BGS-Gesetz tätig, sondern in Amtshilfe für die jewei- 
lige Ausländerbehörde zur Vollstreckung einer verwaltungs- 
rechtlichen Entscheidung. 

Ein weiteres Problem im Zusammenhang mit der Führung 
des BAN besteht in der Speicherung von Datensätzen, an de- 
nen auch Informationen über eine erkennungsdienstliche Be- 
handlung oder eine Haftverbüßung eines Betrof fenen hän- 
gen. Dies führt auch zu einer Speicherung dieser Daten im 
polizeilichen Informationssystem INPOL. Obwohl die be- 
treffenden Datensätze im BAN wegen des Ablaufs der nach 
der Errichtungsanordnung festgelegten Aufbewahrungsfrist 
hätten gelöscht werden müssen, wurden sie von der betref- 
fenden BGS-Dienststelle mit dem Hinweis auf die für die 
INPOL-Dateien geltenden längeren Aussonderungsprüffris- 
ten weiter vorgehalten. Ich habe die unterbliebene Löschung 
der Datensätze und V ernichtung der Akten gemäß § 25 

BDSG beanstandet. Es ist zutreffend, dass aus systemtechni- 
schen Gründen Informationen über eine erkennungsdienstli- 
che Behandlung oder einen Haftaufenthalt in den hierzu 
beim BKA geführten INPOL-Dateien abgebildet und gespei- 
chert werden. Die Speicherdauer wird zwar grundsätzlich 
durch die zulässige Höchstfrist bestimmt. Systemkonventio- 
nen zu INPOL ändern jedoch nichts an der datenschutzrecht- 
lichen Verantwortung des Datenbesitzers für die Rechtmä- 
ßigkeit der Erhebung und Speicherung dieser Daten sowie 
für deren Berichtigung bzw. Löschung nach Maßgabe der für 
ihn geltenden Rechtsvorschriften. So hat der BGS gemäß 
§ 35 Abs. 2 Nr. 2 BGS-Gesetz unter anderem in Dateien ge- 
speicherte personenbezogene Daten zu löschen, sofern deren 
Kenntnis zur Erfüllung der ihm obliegenden Aufgaben nicht 
mehr erforderlich ist. Dies e Verpflichtung obliegt gemäß 
§ 32 Abs. 9 BKA-Gesetz auch dann dem BGS als T eilneh- 
mer von INPOL, wenn in diesen Datensätzen - wie dar ge- 
steht - Informationen über erkennungsdienstliche Behand- 
lungen oder Haftverbüßungen stehen und dies zu einer 
Speicherung in den entsprechenden INPOL-Dateien führt. 
Der BGS hat in diesen Fähen das BKA als Zentralstelle des 
polizeilichen Informationswesens von der Löschung seines 
Datensatzes zu unterrichten. Es hegt in der V erantwortung 
des BKA zu entscheiden, inwieweit die erkennungsdienstli- 
chen bzw. Haftdaten zur Aufgabenerfüllung des BKA als 
Zentralstelle weiterhin gespeichert werden müssen. Ich habe 
in diesem Zusammenhang angeregt, durch interne Verfahren 
sicherzustehen, dass in solchen Fällen künftig die Speicher- 
fristen, die vom BGS als Datenbsitzer nach der Errichtungs- 
anordnung des BAN ver geben werden, Beachtung finden. 
Dies könnte aus meiner Sicht dadurch gewährleistet werden, 
dass im Rahmen eines W iedervorlagesystems entsprechend 
den vergebenen Aussonderungsprüffristen die Akten bei Er- 
reichen der Frist dem zuständigen polizeilichen Bearbeiter 
zur Entscheidung über die weitere Aufbewahrung bzw Spei- 
cherung in der Datei BAN vorgelegt werden. 

Das BMI hat das Ergebnis der datenschutzrechtlichen Kon- 
trollen in den vergangenen Jahren zum Anlass genommen, 
in mehreren Erlassen gegenüber den Grenzschutzpräsidien 
darauf zu drängen, die von mir dar gelegten Mängel abzu- 
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stellen und dafür Sorge zu tragen, dass künftig die Regelun- 
gen des Datenschutzes stringent er als bisher beachtet wer- 
den. Besonders hervorzuheben ist, dass bis zur Änderung 
der Errichtungsanordnung für den BAN zudem über gangs- 
weise Regelungen erlassen wo rden sind, die eine daten- 
schutzkonforme Nutzung der Datei gewährleisten sollten. 
Auch begrüße ich es, dass das BMI in diesem Zusammen- 
hang die Position der behördlichen Beauftragten für den Da- 
tenschutz im BGS gestärkt hat, indem es die Grenzschutz- 
präsidien gebeten hat, für eine kontinuierliche Besetzung 
dieser Stellen zu sorgen und die behördlichen Datenschutz- 
beauftragten bei allen Maßnahm en mit datenschutzrechtli- 
chem Bezug mit einzubeziehen. 

Im Zusammenhang mit der datenschutzrechtlichen Kontrolle 
eines Bundesgrenzschutzamtes in Baden-Württemberg habe 
ich festgestellt, dass auf regionaler Ebene zwischen diesem 
Amt und der dortigen Landespolizei ein umfassender Infor- 
mationsaustausch stattfindet. Dieser ist, zumindest was die 
Datenübermittlung durch BGS-Stellen betrifft, nicht mit den 
einschlägigen Bestimmungen des Bundesgrenzschutzgeset- 
zes in Einklang zu bringen. Die Dienststellen des Bundes- 
grenzschutzes erfassen personenbezogene Daten im Rahmen 
strafrechtlicher Ermittlungsverfahren grundsätzlich im BAN 
oder, sofern die Voraussetzungen des § 2 Abs. 1 BKA-Ge- 
setz vorhegen, im Kriminalaktennachweis. Gemäß § 32 

Abs. 1 BGS-Gesetz kann der Bundesgrenzschutz zudem an 
Behörden des Polizeivollzugs dienstes personenbezogene 
Daten übermitteln, soweit dies zur Erfüllung polizeilicher 
Aufgaben erforderlich ist. Dabei ist in jedem Einzelfall zu 
prüfen, inwieweit das Erfordernis der Aufgabenerfüllung 
bei der übermittelnden BGS-Stelle oder bei der Empfänger- 
behörde erfüllt ist. Die Über mittlung muss darüber hinaus 
dem Grundsatz der V erhältnismäßigkeit genügen. Bei dem 
betreffenden Grenzschutzamt wurden jedoch nach meinen 
Feststellungen alle personenbezogenen Daten Beschuldigter 
und Verdächtiger aus strafrechtlichen Ermittlungsverfahren 
unterschiedslos an das Landeskriminalamt Baden-Württem- 
berg übermittelt; und dies in Kenntnis der T atsache, dass 
diese Daten dort in der Pers onenauskunftsdatei der Landes- 
polizei gespeichert werden und somit für sämtliche Polizei- 
dienststellen des Landes abrufb ar bereitstehen. Diese Form 
der Datenübermittlung entspricht nicht dem Gebot der V er- 
hältnismäßigkeit und ist insoweit nicht mit § 32 Abs. 1 

BGS-Gesetz vereinbar. Auch der Einwand des betreffenden 
Bundesgrenzschutzamtes, die Datenübermittlung erfolge 
ausschließlich für Zwecke der polizeilichen Kriminalstatis- 
tik, greift nicht durch. Soweit die Übermittlung personenbe- 
zogener Daten für Zwecke der polizeilichen Kriminalstatis- 
tik auf der Grundlage von § 30 Abs. 1 BKA-Gesetz erfolgt, 
hat die Übermittlung der Daten grundsätzlich in anonymi- 
sierter Form an das BKA zu erfolgen. Soweit eine Anony- 
misierung aus technischen Gründen derzeit nicht realisiert 
und das Verfahren zur Pseudonymisierung der Daten noch 
nicht eingesetzt werden kann, is t jedenfalls darauf zu ach- 
ten, dass diese Daten ausschließlich zweckgebunden verar- 
beitet werden. Das LKA Baden- Württemberg übernimmt in 
diesen Fähen quasi die Funktion einer „treuhänderischen 
Datenweitergabe“, da die Sta tistik durch das BKA erstellt 
wird. Ich habe die dar gestellte Form der unterschiedslosen 
Datenübermittlung gemäß § 25 Abs. 1 BDSG als einen Ver- 
stoß gegen § 32 Abs. 1 BGS-Gesetz beanstandet. Zudem 
habe ich angeregt, diese Form der Datenübermittlung unver- 
züglich einzustehen. Soweit pe rsonenbezogene Daten für 


statistische Zwecke über das LKA an das BKA weiter gege- 
ben werden, ist das LKA auf die zweckgebundene Nutzung 
der Daten hinzuweisen. Dabei ist sicherzustellen, dass die 
Polizeidienststellen des Landes Baden-Württemberg, denen 
Zugriff auf die Personenauskunftsdatei des LKA gewährt 
ist, diese Daten nicht mehr zur Kenntnis nehmen können. 

Nach Mitteilung des BMI hat das LKA Baden- Württemberg 
diesem Verfahrensvorschlag vorläufig zugestimmt. Es hält 
jedoch die Erfassung der von dem betreffenden Bundes- 
grenzschutzamt übermittelten personenbezogenen Daten als 
eigene Datensätze der baden- württembergischen Polizei 
weiterhin für zulässig und be absichtigt, die Thematik in 
den Gremien der Ständigen Ko nferenz der Innenminister 
und -Senatoren der Länder zu behandeln. Sollte danach das 
LKA Baden-Württemberg zu der ursprünglichen V erfah- 
rensweise zurückkehren und sich nicht an die vor gegebene 
Zweckbindung halten, wäre im Hinblick auf die daten- 
schutzrechtliche Verantwortung des BGS als übermittelnde 
Stelle gemäß §§ 32, 33 BGS-Gesetz eine Übermittlung per- 
sonenbezogener Daten, versehen mit einem V ermerk, dass 
diese ausschließlich für Zwecke der polizeilichen Kriminal- 
statistik zu verwenden sind, nicht zulässig. 

14.2 Projektgruppe „Mehr Datenschutz“ beim 
BGS - Auf der Suche nach neuen 
Datenschutzkonzepten 

Die datenschutzrechtlichen Kontrollen mehrerer Grenz- 
schutzämter in den vergangenen Jahren haben gezeigt, dass 
die dabei festgestellten Mängel strukturell ver gleichbare 
Fragestellungen hinsichtlich der Umsetzung datenschutz- 
rechtlicher Vorgaben für den Geschäftsbereich des BGS ins- 
gesamt aufwerfen. Ich habe daher gegenüber dem BMI die 
Durchführung eines Pilotprojektes angeregt, in dessen Rah- 
men Wege gesucht werden sollen, datenschutzrechtliche 
Verfahren bei der polizeilichen Aufgabenwahmehmung zu 
optimieren und neue Verfahren zu erproben. 

Ich begrüße es, dass das BMI meine Anregung aufgegriffen 
und im Mai 2002 das Bundesgrenzschutzamt Schwandorf 
mit der Durchführung eines Pilotprojekts beauftragt hat. Ziel 
ist es, in einzelnen Teilprojekten der polizeilichen Datenver- 
arbeitung rechtliche und technisch-or ganisatorische Lösun- 
gen zu erarbeiten und diese bei Bedarf auf alle Bundesgrenz- 
schutzämter zu übertragen. Das Pilotprojekt mit der 
Bezeichnung „Datenschutz und BGS - bessere Lösungen für 
Grundrechtsschutz“ wird von einer Projektarbeitsgruppe 
durchgeführt, der neben Mitarbeitern des Bundesgrenz- 
schutzamtes Schwandorf auch Vertreter des Grenzschutzprä- 
sidiums Süd, der Grenzschutzdirektion sowie der Grenz- 
schutzschule Lübeck angehören. Ich nehme in beratender 
Funktion an den Erörterungen der Arbeitsgruppe teil. 

Als erstes Teilprojekt befasst sich die Projektgruppe mit der 
Neukonzeption des Bundesgrenzschutzaktennachweises 
(BAN). Dabei wird auf der Grundlage der derzeitigen Da- 
tenverarbeitungs- und Nutzungsmöglichkeiten im BAN ein 
Modell entwickelt, das sow ohl den polizeilichen als auch 
den datenschutzrechtlichen Anforderungen Rechnung tra- 
gen soll. Die Arbeiten an dem Konzept waren bei Redak- 
tionsschluss noch nicht abgeschlossen. 

Von der Arbeit der Projektgruppe verspreche ich mir wich- 
tige Impulse für eine stetige Verbesserung der datenschutz- 
rechtlichen Rahmenbedingungen im Zusammenhang mit 
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der polizeilichen Aufgabenwahmehmung durch die Dienst- 
stellen des BGS. Auch in den kommenden Jahren werde ich 
die Mitglieder der Projektgruppe bei der Erörterung daten- 
schutzrechtlicher Aspekte der polizeilichen Datenverarbei- 
tung beratend unterstützen. 

14.3 Gemeinsames Zentrum der deutsch- 
französischen Polizei- und Zoll- 
zusammenarbeit in den Grenzgebieten 

Im Februar 2002 habe ich im Gemeinsamen Zentrum der 
deutsch-französischen Polizei- und Zollzusammenarbeit in 
Offenburg einen Beratungs- und Kontrollbesuch durchge- 
führt. Gegenstand des Besuch s war die polizeiliche Daten- 
verarbeitung im Gemeinsamen Zentrum, soweit Bundesstel- 
len daran beteiligt sind. 

Die Tätigkeit des Gemeinsamen Zentrums beruht auf dem 
Abkommen vom 9. Oktober 1997 zwischen Deutschland 
und Frankreich über die Zusammenarbeit der Polizei- und 
Zollbehörden in den Grenzgebieten (Mondorfer Abkom- 
men). Ziel des Abkommens ist es, die Zusammenarbeit der 
Behörden mit polizeilichen und zollrechtlichen Aufgaben 
bei der Gefahrenabwehr sowie der V erhütung und Verfol- 
gung von Straftaten auszubauen. Dem seit drei Jahren beste- 
henden Gemeinsamen Zentru m kommt in diesem Zusam- 
menhang eine Schlüsselrolle zu. ln ihm arbeiten Angehörige 
der Polizeien und der Zollverwaltung Deutschlands und 
Frankreichs räumlich unmittelbar zusammen, um in Angele- 
genheiten, die die Grenzgebiete betref fen, Informationen 
auszutauschen, zu analysieren und weiter zu steuern. Dem 
Gemeinsamen Zentrum gehören für die deutsche Seite Ver- 
treter des Bundesgrenzschutzes, des Zolls sowie der Lan- 
deskriminalämter von Baden-Württemberg und Rheinland- 
Pfalz an. Deutsche, das französische Grenzgebiet betref- 
fende Informationsersuchen werden dabei von französi- 
schen Bediensteten des Gemeinsamen Zentrums bearbeitet; 
französische Ersuchen entsprechend von deutschen Be- 
diensteten. Hierzu greifen die Bediensteten auf die jeweils 
eigenen nationalen Polizei- bzw . Zollinformationssysteme 
zurück. Die Informationsverm ittlung wird in einem T age- 
buch nachgewiesen. Dabei werden personenbezogene Daten 
verarbeitet. Das T agebuch enthält unter anderem Angaben 
über den Grund des Ersuchens sowie - in Stichworten - da- 
rüber, welches Ergebnis an die ersuchende Stelle übermittelt 
wurde. Die angelegten Tagebuchblätter werden elektronisch 
in der automatisierten Datei „T agebuch“ gespeichert und 
sind dort von jedem Bediensteten des Gemeinsamen Zen- 
trums abrufbar. Die Tagebucheintragungen in der Datei wer- 
den automatisch zwei Jahre nach Aufnahme des Ersuchens 
gelöscht sowie das Tagebuchblatt vernichtet. Zum Zeitpunkt 
meines Kontrollbesuchs waren in der Datei ca. 8 000 Daten- 
sätze gespeichert. Nach Angaben der Bediensteten des Ge- 
meinsamen Zentrums wird das „Elektronische T agebuch“ 
nicht nur zur Vorgangsverwaltung bzw. zu befristeten Doku- 
mentationszwecken geführt. Die darin gespeicherten perso- 
nenbezogenen Daten werden vielmehr auch zur Erfüllung 
weiterer polizeilicher Aufgaben im Zusammenhang mit der 
Gefahrenabwehr sowie der V erhütung und Verfolgung von 
Straftaten in den Grenzgebieten genutzt. 

Ich habe gegen den Betrieb einer gemeinsamen Datei „Elek- 
tronisches Tagebuch“ keine Einwände. Es müssen jedoch die 
datenschutzrechtlichen Voraussetzungen hierfür geschaf fen 
werden. Dies ist bislang nicht der Fall. Da das Mondorfer 


Abkommen das Führen einer gemeinsamen polizeilichen 
Datei durch die in das Gemeinsame Zentrum entsandten Be- 
hördenvertreter nicht regelt, kommen als Rechtsgrundlage 
hierfür - soweit der BGS und der Zoll sich daran beteiligen - 
die einschlägigen Regelungen des Bundesgrenzschutz -N eu- 
regelungsgesetzes sowie des Zollfahndungsdienstgesetzes 
in Betracht. Danach ist für jede Datei, die für die Erfüllung 
polizeilicher Aufgaben genutzt wird, zwingend eine Errich- 
tungsanordnung zu erstehen, in der unter anderem auch die 
Speicherfristen für die darin eingestellten Datensätze be- 
stimmt werden müssen. 

Datenschutzrechtlich problematisch ist zudem die nicht 
konsequent durchgeführte T rennung von polizeilichen und 
zollrechtlichen Vorgängen im Gemeinsamen Zentrum. Im 
Hinblick auf die gern. § 30 der Abgabenordnung (AO) ge- 
botene Wahrung des Steuergeheimnisses müssen Informa- 
tionsvorgänge, die zollrechtliche Angelegenheiten betref- 
fen, getrennt von V orgängen aufbewahrt werden, die sich 
auf polizeiliche Angelegenheit en beziehen. Zwar werden 
Informationsersuchen, die Angelegenheiten des Zolls be- 
treffen, ausschließlich von deutschen bzw . von französi- 
schen Zollbeamten im Gemeinsamen Zentrum bearbeitet. 
Auch werden die von den deutschen und französischen 
Zollbediensteten angelegten Tagebuchblätter sowie die übri- 
gen, bei der Erarbeitung von Infonnationsersuchen anfallen- 
den Unterlagen getrennt von den übrigen polizeilichen 
Unterlagen geführt und sind nur für Zollbedienstete zugäng- 
lich. Gleichwohl werden diese Tagebuchblätter aber zusam- 
men mit den polizeilichen Vorgängen in der gemeinsam be- 
triebenen Datei „Elektronisches T agebuch“ abgebildet und 
sind dort für alle Bediensteten des Gemeinsamen Zentrums 
zugänglich. Ich bin mir mit dem Bundesministerium der 
Finanzen darin einig, dass dies mit den gesetzlichen Anfor- 
derungen des § 30 AO nicht im Einklang steht. Der getrenn- 
ten Aktenablage folgend halte ich es daher für geboten, auch 
jeweils für Polizei- und Zollangelegenheiten getrennte Da- 
teien anzulegen, auf die jeweils nur die zuständigen deut- 
schen bzw. französischen Behördenvertreter Zugriff haben. 

Das Gemeinsame Zentrum der deutsch-französischen Poli- 
zei- und Zollzusammenarbeit leistet nach meinem Eindruck 
einen wichtigen Beitrag für eine intensive Zusammenarbeit 
der Polizei- und Zollbehörden beider Länder unterhalb der 
Kooperationsebene nach dem Schengener Durchführungs- 
übereinkommen, in dem Infonnationsersuchen der einen 
und der anderen Seite schneller und ef fektiver vermittelt 
werden können. Zweifellos führt dies zu einer Verbesserung 
der Maßnahmen bei der Abwehr von Gefahren für die öf- 
fentliche Sicherheit und Ordnung sowie bei der V erhütung 
und Verfolgung von Straftaten in den Grenzgebieten. Zu- 
gleich ist es aber unabdingbar , auch die datenschutzrechtli- 
chen Rahmenbedingungen für die Tätigkeit des Gemeinsa- 
men Zentrums zu regeln und seinen Mitarbeitern hierfür die 
notwendige Unterstützung zu gewähren. Dies gilt vor allem 
dann, wenn im Gemeinsamen Zentrum neben der eigent- 
lichen Informationsvermittlung zwischen verschiedenen 
deutschen und französischen Dienststellen auch eine eigen- 
ständige personenbezogene Datenverarbeitung mittels ei- 
nes lokalen Netzwerkes betrieben werden soll. Eine klare 
Regelung der datenschutzrechtlichen Aspekte der Tätigkeit 
des Gemeinsamen Zentrums is t auch im Hinblick darauf 
wichtig, dass dies Modellcharakter für andere geplante bzw. 
bereits realisierte Zentren bilateraler Polizei- und Zollkoo- 
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perationen im deutschen Grenzgebiet hat. Umso bedauerli- 
cher ist es, dass mir bis jetzt weder der Entwurf einer Errich- 
tungsanordnung für die Datei „Elektronisches T agebuch“ 
vorgelegt werden konnte, noch Lösungsvorschläge unter- 
breitet wurden, wie den gesetzlichen Anforderungen zur 
Wahrung des Steuergeheimnisses nach Maßgabe des § 30 
AO Rechnung getragen werden soll. 

15 Zollfahndung 

15.1 Zollfahndungsneuregelungsgesetz 

verabschiedet - Konsequenzen 
für die Steuerfahndung? 

Am 24. August 2002 ist das Gesetz zur Neuregelung des 
Zollfahndungsdienstes, dessen Schwerpunkt das Gesetz 
über das Zollkriminalamt (ZKA) und die Zollfahndungsäm- 
ter bildet, in Kraft getreten (BGBl. 2002 I S. 3202). Neben 
der Regelung von Aufgaben und Befugnissen des ZKA und 
der Zollfahndungsämter wurden mit dem Gesetz die für die 
Tätigkeit dieser Behörden erforderlichen bereichsspezifi- 
schen Datenschutzbestimmungen geschaffen. Die Bundes- 
regierung setzt damit auch für den Bereich dieser Bundes- 
polizei die V orgaben des V olkszählungsurteils für eine 
verfassungskonforme Ausgestaltung des Rechts auf infor- 
mationeile Selbstbestimmung um. Sie kommt damit einer 
entsprechenden Forderung des Deutschen Bundestages nach 
(vgl. 18. TB Nr. 13.1). 

Die Bestimmungen des Gesetzes orientieren sich an den Be- 
fügnisregelungen für das Bundeskriminalamt nach dem Bun- 
deskriminalamtgesetz (BKA-Gesetz) sowie für den Bundes- 
grenzschutz nach dem Bundesgrenzschutzneuregelungsgesetz 
(BGS-Gesetz). So nimmt das ZKA unter anderem die Auf- 
gabe einer Zentralstelle inne rhalb des Zollfahndungsdienstes 
wahr und führt in dieser Funktion ein Zollfahndungsinfonna- 
tionssystem. Dem Zollkriminalamt sowie den Zollfahndungs- 
ämtem werden darüber hina us umfangreiche Befugnisse zu 
besonderen Datenerhebungen eingeräumt. 

An der Ausarbeitung des Gesetzentwurfs war ich von Be- 
ginn an beteiligt. Im Mittel punkt standen dabei insbeson- 
dere die Datenerhebungs- und V erarbeitungsbefugnisse für 
das ZKA und die Zollfahndungsämter. Im Laufe der Erörte- 
rungen konnte unter anderem erreicht werden, dass die An- 
forderungen für eine Datenerhebung mit besonderen Mitteln 
verschärft wurden. Sie sind nunmehr nur zulässig zur V er- 
hütung von Straftaten von erheblicher Bedeutung, soweit 
Anhaltspunkte für eine gewe rbs-, gewohnheits- oder ban- 
denmäßige Begehungsweise vorhegen. Zudem sind die Be- 
fugnisse des ZKA bei Sicherungs- und Zeugenschutzmaß- 
nahmen konkreter gefasst worden. 

Für problematisch halte ich die dem ZKA eingeräumte Be- 
fugnis, personenbezogene Daten aus der Beobachtung be- 
stimmter Verkehre (Waren, Kapital, Dienstleistungen) und 
aus der Marktbeobachtung auch zur Erfüllung seiner übri- 
gen Aufgaben zu nutzen. Für ebenso problematisch halte ich 
die Möglichkeit, personenbezogene Daten im Zusammen- 
hang mit der Verfolgung von Ordnungswidrigkeiten längere 
Zeit zu speichern. V ergleichbare Regelungen finden sich 
weder im BKA- noch im BGS-Gesetz. Das BMF hat hierzu 
auf das vielschichtige Aufgabenspektrum des ZKA hinge- 
wiesen: Die Verhütung und Verfolgung von Straftaten und 
Ordnungswidrigkeiten, die Aufdeckung unbekannter Straf- 
taten und die Durchführung unabhängiger Marktbeobach- 


tungen im Einzelfall. Der V erhütung und V erfolgung von 
Ordnungswidrigkeiten im Zuständigkeitsbereich der Zoll- 
verwaltung käme zudem besondere Bedeutung zu, vor allem 
im Hinblick auf Häufigkeit und Ahndung mit Geldbußen 
von zum Teil erheblicher Höhe. 

Vor diesem Hinter grund habe ich meine Bedenken gegen 
das Gesetzesvorhaben zurückgestellt. Die Praxis muss zei- 
gen, inwieweit bei der Ausübung dieser Befugnisse durch 
die Dienststellen der Zollfahndung dem Grundsatz der V er- 
hältnismäßigkeit Rechnung getragen wird. Ich habe ange- 
regt, zumindest die Aussonderungsprüf fristen für gespei- 
cherte personenbezogene Daten aus Ordnungswidrigkeiten 
entsprechend deren Unwertgehalt unterschiedlich festzule- 
gen. 

Insgesamt begrüße ich die gesetzliche Regelung der Aufga- 
ben und Befugnisse im Bereich der Zollfahndung als zwin- 
gende Konsequenz des V olkszählungsurteils. Hierdurch ist 
eine nicht länger hinnehmbare Rechtslücke geschlossen 
worden. Für den Bürger ist nunmehr klarer erkennbar, unter 
welchen Voraussetzungen und in welchem Umfang er Ein- 
schränkungen seines Rechts auf informationeile Selbstbe- 
stimmung durch den Zollfahndungsdienst hinnehmen muss. 
Zudem wird die datenschutzrechtliche Beratung und Kon- 
trolle dieser Bundesverwaltung auf eine tragfähige Grund- 
lage gestellt. 

Im Zusammenhang mit der V orbereitung des Zollfahn- 
dungsneuregelungsgesetzes und im Hinblick auf die Recht- 
sprechung des Bundesfinanzhofs zu einzelnen Maßnahmen 
im Rahmen der Steuerfahndung habe ich gegenüber dem 
BMF die Frage aufgeworfen, ob nicht auch für die Steuer- 
fahndung, deren Maßnahmen mit massiven Eingrif fen für 
den Betroffenen bereits im V orfeld eines Anfangverdachts 
verbunden sein können, eine bereichsspezifische Rechts- 
grundlage anstelle der Generalklauseln nach der Abgaben- 
ordnung erforderlich ist. Das BMF hat mir signalisiert, dass 
mögliche zusätzliche gesetzliche Regelungen zur Definition 
der Aufgaben und Befugnisse der Steuerfahndung im V or- 
feld eines steuerstrafrechtlichen Anfangsverdachts und zur 
vorbeugenden Bekämpfung von Steuerdelikten in einer 
Bund/Länder- Arbeitsgruppe auch unter Datenschutzge- 
sichtspunkten behandelt werden. Darüber hinaus wurde mir 
in Aussicht gestellt, mich über das Er gebnis der Arbeits- 
gruppe zu unterrichten. Bis Redaktionsschluss dieses Tätig- 
keitsberichts habe ich leider noch keine weitere Antwort 
vom BMF erhalten. Ich halte die Angelegenheit weiterhin 
für regelungsbedürftig. 

15.2 Bargeldkontrollen an den Grenzen 

Im Berichtszeitraum haben sich erneut Bürger, die sich durch 
Bargeldkontrollen an den Grenzübergängen (s. 18. TB 
Nr. 13.5) oder in Zügen der Deutschen Bahn AG in ihrem 
Persönlichkeitsrecht beeinträchtigt fühlten, mit der Bitte um 
Überprüfung an mich gewandt. Dies, obwohl das BMF 
durch mehrere Erlasse die Befugnisse der zuständigen Zoll- 
behörden bei der Durchführung solcher Kontrollen auch be- 
züglich der Weitergabe der dabei gewonnenen Erkenntnisse, 
insbesondere an die Steuerbehörden, klargestellt hat. Danach 
dürfen die Bediensteten des Zolls Reisende in vermeintliche 
Steueroasen nicht von vornherein einem Generalverdacht 
und entsprechenden Maßnahmen - ungeachtet des V erhält- 
nismäßigkeitsprinzips - aussetzen. Reisende müssen aber auf 
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Verlangen von Zoll- oder BGS-Bediensteten mitgeführte 
Zahlungsmittel ab 1 5 000 Euro anzeigen. 

Die einschlägigen Aufgaben und Befugnisse der Zollbehör- 
den wie auch des BGS zur Überwachung des grenzüber- 
schreitenden Bargeldverkehrs, die bis dato in §§ 12a bis d 
Finanzverwaltungsgesetz geregelt waren, sind durch Arti- 
kel 1 Nr. 15 des Gesetzes zur Änderung des Finanzverwal- 
tungsgesetzes und anderer Gesetze vom 14. Dezember 2001 
(BGBl. 1 S. 3714 f.) aufgehoben und zugleich durch Arti- 
kel 7 Nr. 1 und 2 des selben Gesetzes als §§ 3a bis c (für die 
Aufgaben) und §§ 12a bis c (für die Befugnisse) in das Zoll- 
verwaltungsgesetz (ZVG) integriert worden. Primäre Auf- 
gabe der Grenzbeamten ist nach dem Gesetz weiterhin die 
Bekämpfung der Geldwäsche durch Aufspüren von Gewin- 
nen aus schweren Straftaten und damit zusammenhängend 
die Bekämpfung der or ganisierten Kriminalität durch zoll- 
amtliche Überwachung des grenzüberschreitenden Ver- 
kehrs, auch an den Grenzen innerhalb der Gemeinschaft. 
Die Übermittlung personenbezogener Daten an andere 
Finanzbehörden ist zulässig, soweit ihre Kenntnis zur 
Durchführung eines Verwaltungsverfahrens in Steuersachen 
oder eines Strafverfahrens wege n einer Steuerstraftat oder 
eines Bußgeldverfahrens von Bedeutung sein kann. Eine 
Ausdehnung der Untersuchung auf andere Unterlagen, z. B. 
auf Bankunterlagen, ist auf der Grundlage des § 12a ZVG 

nicht zulässig. Es ist zu hof fen, dass sich das Kontrollver- 
halten an den Grenzen mit der Diskussion um die Einfüh- 
rung einer Abgeltungsteuer entspannen wird und damit auch 
die Eingriffe in Grundrechts Positionen der Reisenden ab- 
nehmen werden. 

15.3 Dateibank „ZAUBER“ beim Bundesamt 
für Finanzen 

Im Jahre 2002 habe ich der Pr esse entnommen, dass beim 
Bundesamt für Finanzen eine neue Datenbank unter der Be- 
zeichnung „ZAUBER“ ( Zentrale Datenbank zur Speiche- 
rung und Auswertung von Umsatzsteuer-Betrugsfällen und 
Entwicklung von Risikoprofilen) geführt wird. Ich habe da- 
raufhin das BMF um Auskunft und Abdruck einer V erfah- 
rensbeschreibung gern. § 4e BDSG gebeten. Nach wieder- 
holten Erinnerungen und einer daraufhin erfolgten 
Beanstandung meinerseits wegen V erletzung der Mitwir- 
kungspflicht (vgl. § 25 BDSG i. V. m. § 24 Abs. 4 BDSG) 
hat mir das Ministerium den Betrieb einer solchen Daten- 
bank bestätigt, die seit Januar 2001 existiere. Ziel dieser 
Anwendung ist insbesondere die Bekämpfung des Umsatz- 
steuerbetrugs, z. B. durch Geltendmachung unberechtigter 
Vorsteuererstattung, ln der Datenbank werden auch Betrugs- 
fälle über aufgedeckte Schei nuntemehmen, umsatzsteuer- 
liche Hinterziehungsfälle nach § 370 Abgabenordnung (AO) 
sowie Erwerbsfälle von Kfz au s dem Ausland oberhalb ei- 
ner bestimmten Kaufsumme erfasst. Es werden darüber hin- 
aus Fälle mit einem umsatzsteuerlichen Mehrer gebnis ab 
125 000 Euro aufwärts aus steuerlichen Prüfungen usw. ge- 
sammelt. 

Dem Verfahren nach handelt es sich um eine Art V erbund- 
datei, in die Daten durch di e zuständigen Finanzbehörden 
der Länder eingestellt und abgerufen werden. Bezüglich der 
Daten über umsatzsteuerliche Mehrergebnisse sei die Abfra- 
geberechtigung jedoch auf die Bediensteten der Steuerfahn- 
dung beschränkt. Im Übrigen sei die Einrichtung einer Datei 


über strafrechtliche Vorermittlungen von den Finanzbehör- 
den derzeit nicht geplant. 

Ungeachtet der Stellungnahme des BMF habe ich weiterhin 
Zweifel an der Zulässigkeit der Datei. Dies gilt u. a. für die 
angeführte Rechtsgrundlage des § 88a AO, soweit dort auch 
Ergebnisse strafrechtlicher Ermittlungen Eingang finden. 
Ich habe ferner die Frage aufgeworfen, in welchem Verhält- 
nis der strafrechtliche Datenteil dieser Datenbank zum län- 
derübergreifenden Zentralen Staatsanwaltschaftlichen Ver- 
fahrensregister nach §§ 492 f. der Strafprozessordnung 
steht. Darüber hinaus bleibt zu klären, wie mit Daten aus 
eingestellten Strafverfahren umgegangen wird; denn in der 
Verfahrensbeschreibung nach § 4e BDSG ist eine allge- 
meine Höchstspeicherfrist von zehn Jahren vor gesehen. 
Diese lange Speicherdauer erscheint mir im Hinblick auf 
das Erforderlichkeitsprinzip bedenklich. Ich finde es im 
übrigen unverhältnismäßig, alle Mehrer gebnisse aus Um- 
satzsteuerprüfungen über 125 000 Euro in die Datei einzu- 
stellen, auch wenn keinerlei Anhaltspunkte für Umsatzsteu- 
ermanipulationen vorhanden sind. Bei Redaktionsschluss 
war der Meinungsaustausch mit dem BMF noch nicht ab- 
geschlossen. Eine Prüfung de r Datei beim Bundesamt für 
Finanzen habe ich eingeplant. 

16 Wachsende polizeiliche Zusammenarbeit 

in Europa 

16.1 Europol 

Die gemeinsame Kontrollinstanz von Europol (vgl. 18. TB 
Nr. 11.11) hat im Berichtszeitraum ca. zehn Sitzungen abge- 
halten. Sie wird ihre Aktivitäten in einem Tätigkeitsbericht 
dokumentieren, der Anfang 2003 erscheinen soll. Einen 
Schwerpunkt ihrer beratenden Tätigkeit bildeten die V er- 
handlungen über den Abschluss eines Zusatzabkommens 
zwischen Europol und den USA über den Austausch perso- 
nenbezogener Daten im Anschluss an die Ereignisse vom 
1 1 . September 2001 . Der V ertrag, der am 20. Dezember 
2002 unterzeichnet wurde, ergänzt das Abkommen über den 
Austausch strategischer Infonnationen vom 6. Dezember 
2001. So dringlich dieser V ertrag über die polizeiliche Zu- 
sammenarbeit der Partner war , ergaben sich aus daten- 
schutzrechtlicher Sicht doch erhebliche Hindernisse. Diese 
leiteten sich aus dem Recht auf den Schutz des Persönlich- 
keitsrechts des Einzelnen ab, das in den USA mangels ge- 
setzlicher Regelungen kaum de n europäischen Maßstäben 
entspricht, wie sie insbesondere in der Europaratskonven- 
tion 108 nieder gelegt sind. Die gemeinsame Kontroll- 
instanz, die durch zwei V ertreter an den V ertragsverhand- 
lungen beteiligt war , hat deshalb auf der vertraglichen 
Fixierung datenschutzrechtlicher Grundsätze bestanden. 
Dazu zählen insbesondere das Zweckbindungsprinzip, die 
Weiterübermittlung der empfangenen Daten seitens der Ver- 
tragsparteien an Drittstaaten/Drittstellen nur mit schrift- 
licher Einwilligung sowie die V erpflichtung zur Daten- 
löschung, wenn die Daten nicht mehr erforderlich sind. 
Ferner dürften die Regelungen mit den USA keine präjudi- 
zierende Wirkung auf ähnliche Abkommen von Europol mit 
anderen Drittstaaten entfalten. Der Vollzug des Abkommens 
bedürfe darüber hinaus einer fortdauernden Überwachung. 
Die Vertragsparteien haben sich zudem verpflichtet, das Ab- 
kommen zwei Jahre nach seinem In-Kraft-Treten einer Eva- 
luation zu unterziehen. 



Deutscher Bundestag - 15. Wahlperiode 


- 107 — 


Drucksache 15/888 


Der Beschwerdeausschuss (vgl. 17. TB Nr . 11.3, 18. TB 
Nr. 11.11) hatte sich im Berichtszeitraum erstmals mit zwei 
Beschwerden Betroffener auseinander zu setzen, von denen 
ein Verfahren zum Abschluss gebracht worden ist. Auch 
hierzu wird in dem o. g. Bericht Stellung bezogen. Schon 
jetzt lässt sich feststellen, da ss die eingeleiteten V erfahren, 
auch im Hinblick auf die Beteiligung der Beschwerdeführer, 
recht schwerfällig verlaufen. Der Ausschuss hat deshalb mit 
der Beratung interner Richtlinien begonnen, die das Be- 
schwerdeverfahren unter Wahrung der Rechte der Beteilig- 
ten effizienter gestalten sollen. 

Drei Jahre nach Aufnahme de s Wirkbetriebs bei Europol am 
1. Juli 1999 zeichnet sich im Rat der Wunsch nach einer Än- 
derung des Europol-Übereinkommens vom 26. Juli 1995 ab. 
Dies fand Eingang in eine Init iative des Königreichs Däne- 
mark für einen Rechtsakt des Rates zur Erstellung eines Pro- 
tokoll zur Änderung des Europol-Übereinkommens. Der Ent- 
wurf enthält zahlreiche Änderungen des Vertrages, beginnend 
mit einer erweiterten Zielbe Schreibung von Europol (Arti- 
kel 2) bis zu einer Zusammenarbeitsregelung mit Eurojust 
(Artikel 42). Etliche dieser V orschläge sind auch von daten- 
schutzrechtlicher Relevanz. Die gemeinsame Kontrollinstanz 
hat am 3. Oktober 2002 eine umfassende Stellungnahme zu 
der dänischen Initiative abge geben, die sowohl dem Rat als 
auch dem Europäischen Pa rlament zugänglich gemacht 
wurde. Unbeschadet dieser Stellungnahme, auf die im Tätig- 
keitsbericht der gemeinsamen Kontrollinstanz eingegangen 
wird, habe ich mich gegenüber der Bundesregierung ebenfalls 
zu dem Entwurf einer Stellungn ahme der deutschen Delega- 
tion in den Ratsgremien geäußert. Dabei habe ich daraufhin- 
gewiesen, dass es bei der Fo rtschreibung des Europol-Über- 
einkommens nicht nur um die Interessen Europols und der 
Mitgliedsstaaten, ein effizientes Europäisches Polizeiamt und 
eine verbesserte Kooperation mit den Mitgliedsstaaten zu 
schaffen, sondern auch um de n Schutz des Persönlichkeits- 
rechts der Betroffenen geht. Die Initiative enthält jedoch auch 
Vorschläge, die aus datenschutzrechtlicher Sicht zu begrüßen 
sind. Dazu zählen eine Änderung des Verfahrens bei der Pro- 
tokollierung von Abrufen zum Zweck einer besseren Kon- 
trolle der Zugriffe auf das Eu ropol-lnformationssystem, des 
Weiteren die Anwendung der datenschutzrechtlichen Grund- 
sätze auf die Informationsverarb eitung, auch soweit diese in 
Akten erfolgt. Hingegen sind aus datenschutzrechtlicher Sicht 
erweiterte Zugriffsrechte auf die in Artikel 10 geregelten ver- 
traulichen Analysedateien bei Europol kritisch zu sehen. Bei 
Redaktionsschluss hatte der Ra t noch keine abschließende 
Entscheidung über die dänische Initiative getroffen. Auch die 
Stellungnahme des Europäischen Parlaments zu dem Projekt 
lag zu diesem Zeitpunkt noch nicht vor. 

16.2 Schengen 
16.2.1 SIS II 

Bereits in meinem 18. TB (Nr. 11.10.1) habe ich über Pläne 
zur Fortentwicklung des Sehe ngener Infonnationssystems 
(SIS) berichtet. Hierfür gibt es mehrere Gründe. Zum einen 
stößt das bestehende SIS nach dem Beitritt der skandinavi- 
schen EU-Mitgliedsstaaten und der Assoziierung von Nor- 
wegen und Island im Berichtszeitraum an seine Kapazitäts- 
grenzen; es bedarf also einer Lösung, sobald die MOE- 
Staaten sowie Zypern der Gemeinschaft beitreten und am 
Schengener Besitzstand teilnehmen. Dabei könnte auch die 
jüngste Entwicklung im Bereich der Informationstechnolo- 


gie zur Umrüstung genutzt werden; denn immerhin beruht 
die Systemarchitektur des aktuellen SIS weitgehend auf der 
luK-Technik des Standes vor etwa 15 Jahren. 

Auf der anderen Seite gibt es vermehrt Wünsche der An- 
wender in Bezug auf neue F unktionalitäten des Systems. 
Dabei geht es um eine Erweiterung des Kreises zugrif fsbe- 
rechtigter Behörden (u. a. Europol) auf bestimmte SIS-Da- 
ten. Auch soll der Umfang der in das System einzugebenden 
Datenkategorien ergänzt werden. Langfristig streben die 
EU-Mitgliedsstaaten auf diese Weise eine Änderung des SIS 
von einer herkömmlichen polizeilichen Ausschreibungsda- 
tei mit ausländerrechtlichen Elementen zu einem umfassen- 
den polizeilichen Informationssystem an, auf das ggf. auch 
die Justiz und andere Behörden Zugrif f erhalten sollen. Zu- 
dem ist im Aktionsplan der EU vom 21. September 2001 
über die T errorismusbekämpfung darauf hingewiesen wor- 
den, dass das SIS ausgebaut werden müsse. 

Vor diesem Hintergrund sind unter spanischem EU-V orsitz 
zwei Rechtsakte zur Änderung des Schengener Durchfüh- 
rungsübereinkommens (SDÜ) auf den W eg gebracht wor- 
den, der Entwurf eines Beschlusses und der Entwurf einer 
Verordnung zur Änderung des SDÜ. Der Grund für die 
Zweiteilung dieser Vorschläge, die teilweise parallele Rege- 
lungen enthalten, liegt in der Doppelfünktion des SIS. 
Dieses dient mit seinen Infonnationen einerseits der öf fent- 
lichen Sicherheit und Ordnung einschließlich der Sicherheit 
des Staates, andererseits soll es die Freiheit des Personen- 
verkehrs innerhalb der Gemeinschaft gewährleisten. Es be- 
ruht also auf dem ersten und dem dritten Pfeiler der Union. 

Die gemeinsame Kontrollinstanz von Schengen hat sich in 
einer von mir miterarbeiteten Stellungnahme teils kritisch 
zu den Änderungsvorschlägen geäußert. Diese Stellung- 
nahme findet sich im nächsten Tätigkeitsbericht der ge- 
meinsamen Kontrollinstanz. 

Darüber hinaus habe ich mich gegenüber dem BMI zur Vor- 
bereitung der Stellungnahme der deutschen Delegation in 
den Ratsgremien bezüglich der spanischen Initiativen wie 
folgt geäußert: 

Zunächst habe ich den Sinn der V orschläge im Hinblick auf 
die zeitlich noch ungewisse Erweiterung des aktuellen SIS 1 + 
zu einem künftigen SIS 11 infr age gestellt, zumal mir der 
Zusammenhang mit der T errorismusbekämpfung eher vage 
erscheint. Auch ist es unter datenschutzrechtlichen Ge- 
sichtspunkten bedenklich, bereit s jetzt über erweiterte Zu- 
griffsberechtigungen und neue Funktionalitäten zu entschei- 
den, ohne dass nähere Festlegungen bezüglich der in das 
SIS einzustellenden Datenkategorien getroffen werden. Ins- 
besondere habe ich Sorge, dass das SIS von einer polizeili- 
chen Ausschreibungsdatei sukzessive zu einem umfassen- 
den Infonnationssystem nicht nur für die Polizei, sondern 
auch für andere Behörden ausgebaut werden soll. 

Im Rahmen der Vorschläge ist auch ein Zugriff von Europol 
und der nationalen Mitglieder von Eurojust auf bestimmte 
Ausschreibungskategorien im SIS vor gesehen. Solange je- 
doch Europol keine operativen Befugnisse erhält, ist aus da- 
tenschutzrechtlicher Sicht eine Erforderlichkeit des Zugriffs 
nicht ersichtlich. Dasselbe gilt für die nationalen V ertreter 
von Eurojust, solange deren Aufgaben nicht definitiv festge- 
legt sind. Bedenklich erscheint mir ferner , dass für Aus- 
schreibungen zur verdeckten Registrierung nach Artikel 99 
Abs. 3 SDÜ, die auf Veranlassung von Nachrichtendiensten 
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erfolgen, von der bisherigen Vorabkonsultation der anderen 
Vertragsparteien durch das ausschreibende Land abgesehen 
werden soll. Statt dessen is t nur noch eine Unterrichtung 
über solche sensiblen Maßnahmen vorgesehen. 

Die Rechtsaktentwürfe enthalten jedoch auch aus daten- 
schutzrechtlicher Sicht begrüßenswerte V orschläge. So soll 
in Zukunft jede Übermittlung aus dem SIS zur Kontrolle der 
Zulässigkeit des Abrufs protokolliert werden. Bisher war nur 
eine Protokollierung von du rchschnittlich jedem zehnten 
Abruf obligatorisch. Zudem wird eine normenklare Rechts- 
grundlage für die Aktivitäten der nationalen SIRENE-Bü ros 
geschaffen. Beide Vorschläge entsprechen Forderungen der 
gemeinsamen Kontrollinstanz, die diese schon vor Jahren 
erhoben hat. Bei Redaktionsschluss war in den Ratsgremien 
und beim Europäischen Parlament über die Initiativen Spa- 
niens noch nicht entschieden. 

16.2.2 Neues Verfahren bei missbräuchlich 
verwendeter Identität bringt keine 
substanziellen Verbesserungen, dafür 
aber ein Mehr an zusätzlichen Daten 

Weiterhin habe ich in meinem 18. TB unter Nr. 1 1 .10.3 über 
eine datenschutzrechtlich bedenkliche Praxis in Fällen be- 
richtet, in denen eine im SIS ausgeschriebene Person die 
Identität einer dritten unbescholtenen Person benutzt. Zu 
Problemen kann es für die unbescholtene Person dann kom- 
men, wenn bei einer Personenkontrolle an der Grenze oder 
bei der Beantragung eines Visums festgestellt wird, dass de- 
ren Personalien als Alias-Pers onalien dem Datensatz einer 
anderen Person zugespeichert werden, die im SIS ausge- 
schrieben ist und sich durch Vorlage eines in Verlust gerate- 
nen oder gestohlenen Ausweisp apiers der Identität der un- 
bescholtenen Person bedient, ln einem solchen „Trefferfall“ 
hat die unbescholtene Person na chzuweisen, dass sie nicht 
mit der ausgeschriebenen Person identisch ist. Dies ist in der 
Regel mit Unannehmlichkeiten und mit zeitintensiven Iden- 
titätsfeststellungen verbunden. 

Zur Lösung des Problems hatte das BKA bis Mitte des Jah- 
res 2001 dem Betrof fenen nach dessen erkennungsdienst- 
licher Behandlung eine so genannte Identitätsbescheinigung 
ausgestellt, mit der er seine wa hre Identität im Falle einer 
polizeilichen Kontrolle nachweisen konnte. Gegen dieses 
Verfahren hatte ich trotz datenschutzrechtlicher Bedenken 
letztlich keine Einwendungen erhoben, da ich hierin eine 
Möglichkeit sah, die geschädigte Person möglichst zeitnah 
zu erkennen und deren Beeinträchtigungen so gering wie 
möglich zu halten. 

Im Zusammenhang mit der Eingabe eines Petenten erlangte 
ich davon Kenntnis, dass se it 12. Juli 2001 ein mit allen 
Schengen- Vertragsstaaten abgestimmtes neues V erfahren 
praktiziert wird. Seither ist es möglich, bei Datensätzen, die 
nachweislich auf der missbräuchlichen V erwendung frem- 
der Personalien beruhen, im SIS-Datensatz einen standardi- 
sierten Hinweis „Achtung: Diese Personalien, die einer 
existenten Person gehören, werden von der gesuchten Per- 
son vermutlich missbräuchlich verwendet. Zusatzinformati- 
onen liegen beim nationalen SIRENE-Büro vor“ anzubrin- 
gen. Ein solcher Hinweis wird jedoch erst dann angebracht, 
wenn zuvor eine Identitätskontrolle durch V ergleich von 
erkennungsdienstlichem Material - in der Regel Finger- 
abdrücken - durchgeführt wurde und zusätzliche personen- 


bezogene Daten beim Betroffenen — bis hin zur Angabe der 
Namen der Eltern - erhoben wurden. Diese Angaben wer- 
den in ein so genanntes Q-Formular eingestellt, das an alle 
Schengen-Mitgliedsstaaten versandt wird. Der Betrof fene 
wird auf die Freiwilligkeit seiner Angaben hingewiesen und 
hat zudem eine Einverständniserklärung abzugeben, dass 
die freiwillig abgenommenen Fingerabdrücke zu V er- 
gleichszwecken im nationalen SIRENE-Büro beim BKA 
aufbewahrt werden dürfen. Vor der Aufnahme eines solchen 
Hinweises im SIS ist jedoch zu prüfen, ob die Fahndung als 
solche oder zumindest der den Geschädigten belastende 
Alias-Datensatz gelöscht werden kann. 

Das Verfahren basiert auf Entscheidungen der zuständigen 
EU-Ratsgremien, die die Grundsätze für das Verfahren fest- 
gelegt haben. Damit verbunden war — so das BMI - die Ab- 
sicht, die gemeinsame Kontrollinstanz von Schengen (GK1) 
über diese neue Übergangslösung zu unterrichten. Eine Be- 
teiligung der GK1 - wie auch eine Beteiligung meiner Be- 
hörde im nationalen V erfahren — ist jedoch bislang nicht 
erfolgt. Das BMI hat zugesagt , den Vorsitz der Ratsarbeits- 
gruppe SIS auf die Unterrichtung der GK1 hinzuweisen. Die 
GKI hat sich in der Vergangenheit mehrfach mit dieser Pro- 
blematik befasst und dabei eine gemeinsame Lösung bis zur 
Inbetriebnahme des SIS II gefordert. Eine nachträgliche Un- 
terrichtung über ein bereits seit fast zwei Jahren praktizier- 
tes schengenweit einheitliches Verfahren ist jedoch von ei- 
ner gemeinsamen Lösung weit entfernt. 

Ich verkenne zwar nicht die V erbesserungen, die das neue 
Verfahren in technischer und verwaltungsmäßiger Hinsicht 
gebracht hat, sehe jedoch in der neuen Regelung keine sub- 
stanzielle datenschutzrechtliche V erbesserung. So werden 
für das so genannte Q-Formular zahlreiche Zusatzinforma- 
tionen — wenn auch auf freiwilliger Basis - erhoben, von de- 
nen nach meiner Auf fassung nicht jede im konkreten Ein- 
zelfall erforderlich ist. Die für das Formular zu erhebenden 
Daten müssen sich am jeweiligen Einzelfall orientieren. 
Nicht in jedem Falle sind z. B. die Namen der Eltern des Be- 
troffenen zur Identitätsfeststellung erforderlich. Ferner soll- 
ten - stärker als dies in der Vergangenheit der Fall war - die 
Alias-Datensätze gelöscht werden, sodass es der Erstellung 
und Versendung des Q-Formulars erst gar nicht bedürfen 
würde. So halte ich z. B. aus Gründen des Verhältnismäßig- 
keitsprinzips eine Löschung dann für geboten, wenn das in 
Verlust geratene oder gestohlene Ausweisdokument in der 
Zwischenzeit sichergestellt worden ist und somit eine miss- 
bräuchliche Verwendung der falschen Identität faktisch aus- 
geschlossen ist. 

Ich werde meine Bedenken zu dem neuen V erfahren und 
Vorschläge für eine datenschutzfreundlichere Lösung in der 
GKI, die hoffentlich bald beteiligt wird, weiterverfolgen. 

16.2.3 Konsultationsverfahren nach Artikel 17 
Abs. 2 SDÜ noch immer ohne 
ausreichende Rechtsgrundlage 

Im Rahmen der Erteilung von Schengen-V isa können die 
Schengen-Mitgliedsstaaten bestimmen, dass bei Angehöri- 
gen bestimmter Länder vor einer Visumserteilung eine Kon- 
sultation der zentralen Behörde des eigenen Landes und ggf. 
der zentralen Behörden der anderen Staaten erfolgen muss. 
Zentrale Behörde in Deutschland ist das Auswärtige Amt 
wie in den meisten anderen Mitgliedsstaaten. Die Mitglieds- 
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Staaten teilen einander mit, bei welchen Staatsangehörigen 
sie die Erteilung eines Sichtvermerks von einer solchen 
Konsultation abhängig machen wollen. Ein V isum kann in 
diesen Fällen nur erteilt werden, wenn von der konsultierten 
zentralen Behörde die Antwort „keine Bedenken“ kommt, 
oder wenn binnen sieben Arbeitstagen keine Antwort vor- 
liegt. Rechtsgrundlage für dieses Verfahren bildet Artikel 17 
Abs. 2 SDÜ. Das V erfahren selbst ist für alle Schengen- 
Staaten in den „Gemeinsamen Konsularischen Instruktio- 
nen“ geregelt. 

Ich habe mich im Jahre 2002 beim AA in Berlin und in des- 
sen Rechenzentrum in Bonn über das V erfahren informiert. 
Wie ich hierbei festgestellt habe, werden im nationalen 
Konsultationsverfahren durchschnittlich monatlich rund 
50 000 Fälle abgewickelt. Das gesamte Nachrichtenauf- 
kommen auf dem zentralen Se rver des AA (alle eingehen- 
den Anfragen, Weiterleitungen, Antworten der Sicherheits- 
behörden und der zentralen Be hörden der anderen Staaten 
sowie die Rückantworten) li egt im Monatsdurchschnitt bei 
mehreren Hunderttausend Datensätzen. Das AA leitet die 
Anfragen der eigenen Ausl andsvertretungen und die der 
zentralen Behörden der anderen Staaten an die Sicherheits- 
behörden (BKA, BfV, BND und ZKA) weiter und vermittelt 
deren Antworten. Hierbei wird der anfragenden Behörde im 
Falle vorliegender Bedenken nur mitgeteilt, dass solche be- 
stehen, nicht jedoch wer dies e Bedenken geäußert hat und 
auch nicht deren Gründe. Di e Infonnationsverarbeitung 
läuft vollautomatisch über das Mail-System VISION im Re- 
chenzentrum des AA in Bonn ab, ohne dass es im Normal- 
fall einer individuellen Bearbeitung bedarf. Das AA in Ber- 
lin hat lediglich lesenden Zugriff auf das System. Die Daten 
werden drei Monate nach Einleitung des V erfahrens auto- 
matisch gelöscht. 

Nach dem Ergebnis dieser Infonnations- und Kontrollbesu- 
che haben sich in verfahrensmäßiger Hinsicht keine daten- 
schutzrechtlichen Probleme er geben. Für eine abschlie- 
ßende Beurteilung werde ich das Konsultationsverfahren 
auch bei den im nationalen V erfahren beteiligten Sicher- 
heitsbehörden kontrollieren. 

Kritik habe ich jedoch erneut an der fehlenden Rechtsgrund- 
lage für die Durchführung des in Artikel 17 Abs. 2 SDÜ le- 
diglich institutionalisierten Konsultationsverfahrens geübt 
(vgl. 15. TB Nr. 23.2.1.2). Die Einverständniserklärung, die 
der Visumsantragsteller im Antrag auf Erteilung eines 
Schengen-Visums abgeben muss, kann die fehlende Rechts- 
grundlage für die Erhebung, V erarbeitung und Nutzung der 
für die Durchführung des V erfahrens erforderlichen perso- 
nenbezogenen Daten nicht erse tzen. Das AA hat hierzu er- 
klärt, es werde die Schaffung einer Rechtsgrundlage für die 
Durchführung der Konsultationen in einem EU-Rechtsakt 
weiter verfolgen. Die EU-Kom mission habe dieses Anlie- 
gen in ihren Arbeitsplan für das Jahr 2003 aufgenommen. 

16.3 ZIS-Übereinkommen 

16.3.1 Aktennachweissystem - Ergänzung 
des Zollinformationssystems 

Das mit dem Übereinkommen über die Nutzung der Infor- 
mationstechnologie im Zollbereich vom 26. Juli 1995 (vgl. 
zuletzt 18. TB Nr. 13.4) eingerichtete Zollinformationssys- 
tem (ZIS), das zu einer engeren Zusammenarbeit der Zoll- 
behörden der EU-Mitgliedsstaaten im Rahmen der dritten 


Säule der EU (Inneres und Justiz) führen soll, hat auch im 
Berichtszeitraum seinen W irkbetrieb nicht aufgenommen. 
Die Gründe hierfür sind technischer Natur, zumal die Über- 
einkunft über die vorläufige Anwendung des Übereinkom- 
mens zwischen einigen Mitgliedsstaaten der EU am 1 . No- 
vember 2000 in Kraft getreten ist. 

Inzwischen haben die EU-Mitgliedsstaaten ihren Meinungs- 
streit darüber beigelegt, ob das ZIS als reine Ausschrei- 
bungsdatenbank oder gleichzeitig auch als Aktennachweis- 
system für Zwecke der Recherche genutzt werden kann. Auf 
Initiative der damaligen deutschen Präsidentschaft im 
1. Halbjahr 1999 wurden Beratungen über eine als „Akten- 
nachweissystem“ bezeichnete automatisierte Datei geführt, 
die den für die Zollfahndung zuständigen Stellen der Mit- 
gliedsstaaten Informationen über das Xörhandensein von Ak- 
ten über abgeschlossene oder laufende Ermittlungsverfahren 
in den Mitgliedsstaaten zur Verfügung stehen soll. Ziel ist es, 
die für die Zollfahndung in den Mitgliedsstaaten zuständigen 
Stehen in die Lage zu versetzen, ihre Ermittlungen unterei- 
nander rasch abzustimmen und sich ggf. auf ein gemeinsames 
Vorgehen zu verständigen. Hier durch soll insbesondere die 
Bekämpfung der or ganisierten und grenzüberschreitenden 
Kriminalität verbessert we rden. Das Aktennachweissystem 
ergänzt damit die Datenbank de s ZIS zur Koordinierung der 
Maßnahmen der Stellen, die fü r die Kontrolle des Personen- 
und Warenverkehrs zuständig sind (vgl. hierzu Nr. 9.10). 

Als Rechtsgrundlage für das Aktennachweissystem wurde 
ein Protokoll zur Ergänzung des ZIS-Übereinkommens ge- 
wählt. Die Beratungen des Entwurfs in der zuständigen 
Ratsarbeitsgruppe sind nach Mitteilung des BMF , das mich 
stets an der Abstimmung der deutschen V erhandlungsposi- 
tion beteiligt hat, abgeschlossen. 

Ich begrüße den von den EU-Mitgliedsstaaten gewählten 
Weg, für das Aktennachweissystem eine vom ZIS rechtlich 
unabhängige Datenbank mit eigener Zweckbestimmung und 
eigenem Anwendungsbereich einzurichten. Auch gegen die 
im Protokoll vorgesehenen Regelungen habe ich keine Ein- 
wände: Der Umfang der im Aktennachweissystem zu spei- 
chernden personenbezogenen Daten ist auf das erforderliche 
Maß beschränkt; es gelten strenge Zweckbindungsregelun- 
gen; der Nutzerkreis ist eng begrenzt und die Dauer der vor- 
gesehenen Speicherfristen trägt dem Stand des jeweiligen 
Ermittlungsverfahrens Rechnung. 

Mit der zu erwartenden Annahme des Protokolls durch den 
Rat und vor dem Hintergrund der Schaffung der innerstaatli- 
chen Voraussetzung durch bereichsspezifische Regelungen 
für den Zollfahndungsdienst (s. o. Nr. 15.1) dürften die Hin- 
dernisse für eine deutsche Ratifizierung des ZIS-Überein- 
kommens beseitigt sein. Mit der Vorlage eines entsprechen- 
den Gesetzentwurfs der Bundesregierung nach Artikel 59 
Abs. 2 GG ist im Laufe des Jahres 2003 zu rechnen. 

16.3.2 Gemeinsame Aufsichtsbehörde für das 
ZIS - eine weitere Datenschutzinstanz 
im Dritten Pfeiler der EU 

Am 7. März 2002 hat sich als weitere datenschutzrechtliche 
Aufsichtsbehörde neben der gemeinsamen Kontrollinstanz 
nach dem Schengener Durchführungsübereinkommen und 
derjenigen nach dem Europol-Übereinkommen die gemein- 
same Aufsichtsbehörde gemäß Artikel 18 des ZIS-Überein- 
kommens konstituiert. Sie setzt sich aus je zwei Yrtretem der 
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nationalen Kontrollinstanzen zusammen. Im Hinblick auf die 
ausschließliche Bundeszuständigkeit für den Bereich der 
Zollfahndung wird Deutschland dabei durch mich vertreten. 

Die Gemeinsame Aufsichtsbehörde ist im Wesentlichen für 
die datenschutzrechtliche Kontrolle des ZIS sowie des Ak- 
tennachweissystems, insbesondere bezüglich des von der 
EU-Kommission betriebenen Zentralcomputers in Brüssel 
zuständig und prüft dabei auftretende Anwendungs- und 
Auslegungsschwierigkeiten. Im Hinblick auf die bisher feh- 
lende technische Realisierung des Informationssystems ist 
das Gremium nur selten zusammengetreten. Es ist jedoch 
davon auszugehen, dass mit Aufnahme des W irkbetriebes 
des ZIS und des Aktennachweissystems die Anforderungen 
an die Aufsichtsbehörde erheblich steigen werden. 

16.4 Neapel Il-Übereinkommen 

ln früheren Tätigkeitsberichten (vgl. u. a. 18. TB Nr . 13.3) 
habe ich verschiedentlich über das Neapel Il-Übereinkom- 
men der EU-Mitgliedsstaaten zur gegenseitigen Amtshilfe 
und Zusammenarbeit der Zollverwaltungen vom 18. Dezem- 
ber 1997 berichtet. Ein entsprechendes Ratifizierungsgesetz 
nach Artikel 59 Abs. 2 Grundgesetz zu diesem Übereinkom- 
men ist am 31. Januar 2002 vom Deutschen Bundestag gebil- 
ligt worden; es ist am 1 1 . Juni 2002 in Kraft getreten. Das 
Übereinkommen bildet einen Meilenstein bei der Europäi- 
schen Kooperation im Bereich des Zolls in Egänzung zu ent- 
sprechenden Regelungen in den Bereichen Justiz und Polizei 
(vgl. Nr. 16.2). Neben einer verbesserten und erweiterten 
Zusammenarbeit im Zollbereich erhalten die nationalen 
Zollverwaltungen dadurch die Möglichkeit zur grenzüber- 
schreitenden Observation und zu weiteren grenzüberschrei- 
tenden Erhebungsbefügnissen. Nach Artikel 25 des V ertra- 
ges sind die Zollverwaltungen jedoch verpflichtet, in jedem 
Einzelfall den Schutz des Persönlichkeitsrechts zu gewähr- 
leisten. Im November 2002 hat die Bundesrepublik Deutsch- 
land die Beitrittsurkunde beim Verwahrer hinterlegt, sodass 
der Vertrag 90 Tage später mit denjenigen Staaten in Kraft 
treten kann, die ebenfalls von dieser Option Gebrauch ma- 
chen. Dies sind derzeit sechs Staaten, darunter Frankreich 
und die Niederlande. Ich werde zu gegebener Zeit überprü- 
fen, ob und wie die deutschen Zollbehörden die vorgenann- 
ten datenschutzrechtlichen Anforderungen bei der grenz- 
überschreitenden Zusammenarbeit beachten. 

17 Verfassungsschutz 

17.1 Änderung des Bundesverfassungs- 

schutzgesetzes erweitert die Befugnisse 
des Bundesamtes für Verfassungsschutz 

Kernpunkt des T errorismusbekämpfüngsgesetzes (TBG) 
vom 9. Januar 2002 (s. Nr 2.2) sind die Änderungen im Bun- 
desverfassungsschutzgesetz (BVerfSchG - Artikel 1 TBG). 

Dies beginnt mit der Erweiterung des Aufgabenbereichs des 
Bundesamtes für Verfassungsschutz nach § 3 Abs. 1 Nr . 4 
BVerfSchG auf die Sammlung und Auswertung von Infor- 
mationen über inländische Bestrebungen, die sich gegen den 
Gedanken der Völkerverständigung (Artikel 9 Abs. 2 GG), 
insbesondere gegen das friedliche Zusammenleben der Völ- 
ker (Artikel 26 Abs. 1 GG) richten. Leider ist der Gesetzge- 
ber meiner Anregung nach einer Konkretisierung dieser 
Rechtsbegriffe — wie in § 4 des Gesetzes für die anderen 
Schutzgüter - nicht gefolgt, was im Hinblick auf die nach- 


folgend skizzierten erweitert en Befugnisse des BfV nicht 
unbedenklich ist. 

Besonders gravierend für das Persönlichkeitsrecht sind 
die neuen Befugnisse des BfV , gern. § 8 Abs. 5 bis 8 
BVerfSchG Auskünfte bei Banken, Post-, T elekommunika- 
tions-, Teledienst- und Fluguntemehmen über Bankkonten 
und Postfächer, über Transportleistungen, Telekommunika- 
tionsverbindungs- und T eledienstenutzungsdaten einzuho- 
len. Die G 1 0-Kommission wird — über ihren bisherigen 
Aufgabenbereich hinaus - beteiligt. Ich vertrete die Auffas- 
sung, dass aus der Erhebungsbefügnis des BfV nicht 
zwangsläufig eine entspreche nde Auskunftspflicht der er- 
suchten nicht öffentlichen Stehe folgt. Vielmehr dürfen die 
Auskünfte nur erteilt werden, wenn die unterschiedlich aus- 
gestalteten materiell-rechtlichen Voraussetzungen der Da- 
tenübermittlung bei den ersu chten Stellen gegeben sind. 
Gleichwohl habe ich erhebliche Bedenken gegen diese 
neuen Befugnisse, auch wenn sie nur Ersuchen im Einzelfall 
zulassen, weil es sich im Gründe um polizeiliche Befugnisse 
handelt und die Daten bei Vorhegen der Voraussetzungen an 
die Strafverfolgungsbehörden weitergegeben werden. 

Des Weiteren wurde in § 9 Abs. 4 BVerfSchG erstmals eine 
gesetzliche Grundlage für den Einsatz des so genannten 
IMSI-Catcher durch den Verfassungsschutz geschaffen. We- 
gen der technischen Einzelheit en zu dieser Erhebungstech- 
nik verweise ich auf die Ausführungen zu der Parallelrege- 
lung in § lOOi Strafprozessordnung (s. Nr . 8.2.4). Meine 
Bedenken gegen die Regelung bestehen insbesondere darin, 
dass auch schutzwürdige Interessen Dritter durch solche 
Maßnahmen beeinträchtigt werden können. Immerhin ist es 
gelungen, im Verlaufe der Beratungen die Regelung durch 
verfahrenssichemde Vorkehrungen aus dem Artikel 10-Ge- 
setz zu entschärfen. 

Einer alten Forderung des V erfassungsschutzes folgend 
sind die Fristen für Datenspe icherungen aufgrund von § 3 
Abs. 1 Nr. 3 (gewaltgeneigt er Ausländerterrorismus) und 
Nr. 4 - n eu - BVerfSchG (völkerrechtswidrige Bestrebun- 
gen) auf 15 Jahre verlängert bzw. neu festgelegt worden, ln 
Anbetracht der Tatsache, dass diese Erkenntnisse vielfach 
nur auf tatsächlichen Anhaltspunkten für solche Bestrebun- 
gen beruhen, ist dies eine bedenkliche Verschlechterung für 
das Persönlichkeitsrecht Betroffener. Immerhin ist es trotz 
gegenteiliger Bemühungen der Sicherheitsbehörden gelun- 
gen, die gesetzliche V erpflichtung zur Prüfung der Daten- 
speicherung im Einzelfall bzw. spätestens nach fünf Jahren 
beizubehalten. 

Schließlich ist in § 1 8 Abs. 1 a — neu - BXferfSchG dem Bun- 
desamt für die Anerkennung ausländischer Flüchtlinge und 
den Ausländerbehörden der Länder die Verpflichtung aufer- 
legt worden, von sich aus die jeweils zuständige V erfas- 
sungsschutzbehörde über die ihnen bekannt gewordenen In- 
formationen einschließlich personenbezogener Daten über 
Bestrebungen und Tätigkeiten nach § 3 Abs. 1 BV erfSchG 
zu unterrichten. Das gilt auch für einfache extremistische 
Bestrebungen, wenn tatsächliche Anhaltspunkte dafür vor- 
liegen, dass die Übermittlung für die Aufgabenerfüllung des 
Verfassungsschutzes erforderlich ist. Dies bedeutet eine er- 
hebliche Ausweitung der schon bestehenden Unterrich- 
tungspflicht auf alle in § 3 Abs. 1 BV erfSchG genannten 
Schutzgüter bei gleichzeitiger Absenkung der Übermitt- 
lungsschwelle. Denn im Falle des § 18 Abs. 1 BV erfSchG 
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muss nur über bekannt gewordene T atsachen zu Spionage- 
aktivitäten bzw. zu gewaltgeneigten Bestrebungen unter- 
richtet werden. Dadurch geraten vermehrt Asylbewerber 
und Ausländer, selbst wenn sie sich nur aktiv politisch betä- 
tigen, ins Visier der Verfassungsschutzbehörden. Insgesamt 
bedeuten die Neuregelungen im Bundesverfassungsschutz- 
gesetz eine erhebliche zusätzliche Beeinträchtigung des Per- 
sönlichkeitsrechts Betroffener. Doch ist daraufhinzuweisen, 
dass die neuen Befugnisse nach Artikel 22 Abs. 2 TBG auf 
fünf Jahre befristet und überdie s vor Ablauf der Befristung 
zu evaluieren sind (s. Nr. 2.3.1). 

17.2 Datenlöschung und Aktenvernichtung 
beim Bundesamt für Verfassungsschutz 

17.2.1 Personenbezogene Daten in Akten 

unterliegen nach Löschung in NADIS-PZD 
einem absoluten Verwertungsverbot 

Anders als in einer Reihe von Landesdatenschutz- und Lan- 
desverfassungsschutzgesetzen, in denen nach Löschung von 
personenbezogenen Daten in Dateien ausdrücklich auch die 
Vernichtung der dazu gehörenden Akten, die zur Aufgaben- 
erfüllung nicht mehr erforderliche personenbezogene Daten 
enthalten, geregelt ist (z. B. § 11 Abs. 3 Verfassungsschutz- 
gesetz NW, s. auch § 33 BKA-Gesetz), ist nach § 12 Bun- 
desverfassungsschutzgesetz (BVerfSchG) und § 20 Abs. 2 
BDSG eine Löschung/Vemichtung nur für personenbezo- 
gene Daten vorgesehen, die automatisiert bzw. in einer Da- 
tei verarbeitet werden, ln Bezug auf Akten regelt § 13 
BVerfSchG als Spezialvorschrift ausdrücklich nur deren Be- 
richtigung und Sperrung; ebenso sehen § 20 Abs. 1 Satz 2 
und Abs. 6 BDSG auch nur die Berichtigung und Sperrung 
von personenbezogenen Daten in Akten vor. 

Unabhängig von der Frage einer rechtlichen V erpflichtung 
zur Vernichtung jedenfalls der Personenakten (P -Akten) 
nach einer Löschung von personenbezogenen Daten des Be- 
troffenen im nachrichtendienstlichen Informationssystem- 
Personenzentraldatei (NADIS-PZD) - eine Forderung, die 
ich stets aufrecht erhalten habe (s. 16. TB Nr. 14.5) - stim- 
men BMI und BfV mit mir überein, dass diese in jedem Fall 
zu vernichten sind. Hierzu ist eine V erfahrensregelung im 
BfV erlassen worden. 

Für Aktenteile mit personenbezogenen Daten aus den um- 
fangreicheren Sachakten - z. B. über bestimmte Beobach- 
tungsobjekte - gilt dies entsprechend der getrofenen Verein- 
barung unter Beachtung der Aktenvollständigkeit nur dann, 
wenn es möglich und vom Arbeitsaufwand vertretbar ist. 

Ansonsten ist die Löschung des Datensatzes (z. B. durch 
Stempelaufdruck auf bzw. in der Sachakte ) zu dokumentie- 
ren. Hiervon betroffene Daten gelten — ohne dass dieser Be- 
griff in Verfahrensregelungen des BfV gebraucht wird - als 
„gesperrt“ (vgl. § 13 Abs. 2 Satz 2 BV erfSchG). Danach 
dürfen sie grundsätzlich nicht mehr genutzt oder übermittelt 
werden. Da die Speicherung als solche wegen des o. a. 
Sachzusammenhangs bestehen bleibt, muss sicher gestellt 
werden, dass sie für den Betrof fenen keine negativen Aus- 
wirkungen (mehr) haben kann. 

Darüber hinaus unterliegen personenbezogene Daten eines 
Betroffenen, dessen Daten in NADIS-PZD gelöscht sind, ei- 
nem absoluten Verwertungsverbot, auch wenn sie noch in 
Akten gleich welcher Art geführt werden. Dies ist ein Aus- 


fluss des informationellen Selbstbestimmungsrechts, denn 
sie hätten an sich vernichtet werden müssen. Gleiches gilt 
auch, wenn sie in Sachakten als „gesperrt“ gelten. Unter das 
Verwertungsverbot fällt jede denkbare weitere Nutzung der 
Daten, insbesondere auch die Übermittlung an Dritte. 

Die Rechte des Betrof fenen, namentlich seine Rechte auf 
Auskunft, Berichtigung und Löschung, bleiben unberührt. 
Dritten gegenüber dürfen weder die gesperrten Daten noch 
die Tatsache der „Sperrung“ mitgeteilt werden. 

Ausnahmen vom Übennittlungs- und V erwertungsverbot 
sehe ich nur in eng begrenztem Rahmen. Sie sind unter 
strikter Beachtung des Grundsatzes der Verhältnismäßigkeit 
zulässig, soweit dies zum Schutz besonders hochwertiger 
Rechtsgüter unerlässlich ist und die Aufklärung des Sach- 
verhalts ohne Heranziehung der Erkenntnisse aus Sachakten 
aussichtslos oder wesentlich erschwert wäre. Dies kann 
z. B. der Fall sein, wenn sich aus noch vorhandenen Unter- 
lagen tatsächliche Anhalts punkte für noch nicht verjährte 
Straftaten i. S. d. §138 Strafgesetzbuch (StGB) er geben. 
Hier ist auch der V erfassungsschutz — wie jedermann - an 
das Legalitätsprinzip gebunden. Bei solchen Straftaten, vor 
allem nach §§211, 212 StGB, ist dem Strafverfolgungsinte- 
resse des Staates der Vorrang vor dem Interesse des Betrof- 
fenen am Schutz „seiner“ Daten zu geben. 

Abgesehen von dem Anspruch des BMI als oberster Auf- 
sichtsbehörde auf Vorlage aller Unterlagen des BfV , sehe 
ich sowohl beim Parlamentarischen Kontrollgremium, bei 
Parlamentarischen Untersuchungsausschüssen und auch bei 
Strafverfolgungsbehörden Einsichtsrechte nur im Rahmen 
der o. a. Ausnahmen. 

Zusammen mit den Datenschutzbeauftragten der Länder 
habe ich mich vor diesem Hintergrund mit der o. a. Proble- 
matik der Behandlung von Unterlagen mit andernorts ge- 
löschten Daten befasst; dazu ist am 24. Oktober 2002 ein 
gemeinsamer Beschluss ergangen (s. Anlage 25). 

17.2.2 Muss das Bundesamt für Verfassungs- 
schutz Akten an das Bundesarchiv 
abgeben? 

Im Rahmen der Diskussion über die Behandlung von perso- 
nenbezogenen Daten in Persone n- und Sachakten im Jahre 
2001 hatte das BfV zu verstehen gegeben, dass es im Hin- 
blick auf das von mir postulierte absolute V erwertungs- 
verbot (s. Nr . 17.2.1) nunmehr die Anwendbarkeit des 
Bundesarchivgesetzes (BArchG) auf Unterlagen des BfV 
problematisiere. Das Bundesarchiv widersprach mit dem 
Hinweis auf die in § 2 BArchG geregelte Anbietungsver- 
pflichtung von Behörden der Auf fassung des BfV, archiv- 
würdiges Schriftgut unterliege ebenfalls dem V erwertungs- 
verbot, das vom Bundesarchiv auch zu beachten sei. Da das 
Bundesarchiv der - irrigen - Auffassung war, ich würde die 
Meinung des BfV vertreten, hielt ich es für geboten, mit 
BMI, BfV und der für das Bundesarchiv zuständigen Beauf- 
tragten der Bundesregierung für Kultur und Medien die 
Frage der Geltung und Anwendungsbreite des BArchG im 
Hinblick auf die beim BfV geführten Unterlagen unter Ein- 
beziehung des bisher durchgeführten Verfahrens zu erörtern. 
Dabei habe ich deutlich gemach t, dass das BArchivG auch 
auf das BfV Anwendung findet. Grund dafür ist das Fehlen 
einer expliziten Aktenvemichtungsregelung im BVerfSchG. 
Nach § 2 Abs. 7 BArchG bleiben Rechtsvorschriften über 
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die Vernichtung von Unterlagen unberührt. Das B VerfSchG 
regelt nur die Löschung personenbezogener Daten in Da- 
teien (§ 12 Abs. 2), nicht ausdrücklich aber die Vernichtung 
in Akten. § 13 B VerfSchG gilt nur für die Berichtigung und 
Sperrung solcher Daten. Das BArchG ist daher anzuwen- 
den; Personen- und Sachakten des BfV sind dem Bundes- 
archiv nach den Regelungen des BArchG anzubieten. Ich 
habe durchgängig die Auf fassung vertreten, dass das 
BArchG „hinreichend nonnenklare Bestimmungen“ mit ge- 
setzlich präzise bestimmten Zwecken für eine zulässige 
Aufbewahrung personenbezogener Daten enthalte. 

Zurzeit wird im BfV folgendes Verfahren angewandt: 

Das BfV hat eine große Zahl von Akten - entsprechend einer 
Vereinbarung mit dem Bundesarchiv, die im Januar 2001 er- 
neuert wurde - als „zeitgeschichtlich bedeutsam“ eingestuft. 
Dabei handelt es sich insgesamt um Grundsatzakten, zu denen 
auch Arbeits- und Aktenpläne gehören, und um Personen- und 
Sachakten. Tatsächlich sind diese Unterlagen bisher nicht 
nach § 2 BArchG dem Bundesa rchiv angeboten worden. Es 
handelt sich also noch um ein V erfahren im „Vorfeld“ des 
BArchG, da auch das Bundesar chiv selbst die als zeitge- 
schichtlich bedeutsam gekennzeichneten Unterlagen noch 
nicht dahin gehend überprüft hat, ob ihnen nach § 3 BArchG 
„bleibender Wert für die Erforschung oder das Verständnis der 
deutschen Geschichte, die Sicherung berechtigter Belange der 
Bürger oder die Bereitstellung von Infonnationen für Gesetz- 
gebung, Verwaltung und Rechtsprechung zukommt“. 

Die Tatsache, dass Akten mit personenbezogenen Daten im 
BfV auch nach Löschung der Daten des Betrof fenen in Da- 
teien (§ 12 Abs. 2 BV erfSchG) und trotz des W egfalls der 
Erforderlichkeit für die Aufgabenerfüllung des BfV weiter 
aufbewahrt werden, steht auch nach Auf fassung des BMI 
einen fortdauernden Eingriff in das Persönlichkeitsrecht dar. 
Vor diesem Hintergrund habe ich die Ansicht vertreten, dass 
wegen der Geltung des BArchG eine Darstellung in den 
Dienstanweisungen der Abteilungen des BfV ausreiche; 
dort müsste die Pflicht zum Anbieten der Sach- und Perso- 
nenakten nach Fortfall der Erforderlichkeit für die Aufga- 
benerfüllung des BfV einheitlich verdeutlicht werden, ln der 
Vereinbarung mit dem Bundesa rchiv und/oder in den Ar- 
beitsplänen des BfV sollte eine Frist für die Prüfung nach 
§ 2 BArchG enthalten sein, die wie folgt lauten könnte: 
„Wenn eine Akte insgesamt zur Erfüllung der Aufgaben 
nicht mehr erforderlich ist, ist binnen eines Jahres zu ent- 
scheiden, ob sie an das Bundesarchiv abzugeben ist. W ird 
sie nicht abgegeben, ist sie zu vernichten“. 

Zwar betrachte ich eine solche „unter gesetzliche“ Verfah- 
rensanweisung als ausreichend; ich würde aber aus Gründen 
der Nonnenklarheit einer bereichsspezifischen V orschrift 
zur Anwendung des BArchG im B VerfSchG den Vorzug ge- 
ben. Neben einer ggf. zu schaffenden Regelung zur Vernich- 
tung der Akten wäre in § 13 BWrfSchG dann — vergleichbar 
etwa der Regelung in § 33 BKA-Gesetz - aufzunehmen, 
dass anstelle der Vernichtung eine Abgabe an das Bundesar- 
chiv erfolgen muss, wenn den Unterlagen bleibender W ert 
i. S. v. § 3 BArchG zukommt. Ich habe vor geschlagen, die 
o. a. Ein-Jahres-Frist in die gesetzliche Regelung aufzuneh- 
men. Das BMI ist allerdings der Auffassung, die Befristung 
für die Abgabeentscheidung sollte lediglich in den Arbeits- 
plänen bzw. in der bilateralen V ereinbarung zwischen dem 
BfV und dem Bundesarchiv festgelegt werden. 


Die Gespräche mit dem BMI und der Beauftragten der Bun- 
desregierung für Kultur und Medien waren bei Redaktions- 
schluss noch nicht beendet. Ic h bin allerdings optimistisch, 
dass es zu einer gesetzlichen Regelung kommen wird, die 
alle Seiten zufrieden stellt. Bis dahin sollte das V erfahren 
zwischen BfV und Bundesarchiv bereits entsprechend ge- 
staltet werden. 

17.3 Aktenvernichtung beim Bundesamt für 
Verfassungsschutz nunmehr durch eine 
neue Dienstanweisung klar geregelt 

Aus gegebenem Anlass habe ich im Jahr 2001 die Vernich- 
tung von Personenakten (P -Akten) nach Löschung der zuge- 
hörigen personenbezogenen Daten in der Personenzentral- 
datei des nachrichtendienstlichen Infonnationssystems 
(NAD1S-PZD) geprüft. Hierbei stellte ich fest, dass das Ver- 
fahren der Aktenvemichtung insgesamt einer kritischen 
Überprüfung zu unterziehen war, da Teile von P-Akten, die 
ebenfalls hätten vernichtet werden müssen, nicht dem zur 
Vernichtung anstehenden Gesamtvorgang zugeführt worden 
waren, ln einem Fall war z. B. der Hinweis auf die in einem 
anderen Bereich zuvor angelegte Teilakte bei der Aktenver- 
nichtung von allen Beteiligten offenbar übersehen worden. 

Aufgrund der festgestellten or ganisatorischen Mängel bei 
der Zusammenführung von Teilen von P-Akten und der Ver- 
nichtung dieser Akten hat - auf meine V eranlassung hin - 
das BfV ein verbessertes Verfahren entwickelt. Anfang 2002 
wurde eine neue „Dienstanweisung für die Vernichtung von 
Gesamtakten“ in Kraft gesetzt, die ich im Echtbetrieb über- 
prüft habe. Durch diese Dienstanweisung scheint nunmehr 
sichergestellt zu sein, dass Akten, die nach Löschung der 
personenbezogenen Daten in NADIS-PZD zu vernichten 
sind, tatsächlich vollständig und fristgerecht vernichtet wer- 
den. Die von mir festgestellten Mängel werden aller W ahr- 
scheinlichkeit nach in Zukunft nicht mehr auftreten. 

Im BfV werden alle Akten nach und nach verfilmt. Bei der 
Vernichtung von Daten auf Rollfilmen stellt sich allerdings 
noch ein Problem. Daten auf Rollfilmen über Personen, de- 
ren Akten zu vernichten sind, werden im Zuge des Akten- 
vemichtungsverfahrens anstelle einer physischen V emich- 
tung nach Herausschneiden der entsprechenden T eile mit 
einem schwarzen Balken als „vernichtet“ gekennzeichnet. 
Diese Filme werden nach und nach jahr gangsweise vom 
BfV überprüft; die Teile, die noch nicht zu vernichten sind, 
werden herausgeschnitten und archiviert. Die - durch einen 
schwarzen Balken bereits gekennzeichneten - „gelöschten“ 
Daten werden bei diesem Arbeitsvorgang vernichtet. 

Angesichts des nachvollziehbaren hohen Arbeitsaufwandes, 
der beim Herausschneiden und V ernichten der T eile im 
Zuge der konkret anstehende n Aktenvemichtung entstehen 
würde, habe ich gegen dieses V erfahren keine grundlegen- 
den datenschutzrechtlichen Bedenken. Zwar sind die durch 
den schwarzen Balken als „v emichtet“ gekennzeichneten 
Daten noch lesbar; ein gezieltes Recherchieren nach solchen 
Daten erscheint aber nahezu ausgeschlossen. 

Ich habe das BMI in Anbetracht des größeren Arbeitsrück- 
standes des BfV bei der Überprüfung der Rollfilme gebeten, 
das BfV anzuhalten, diese Arbeiten beschleunigt fortzuset- 
zen und mich über das Ergebnis zu unterrichten. 
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18 MAD 

18.1 Änderung des MAD-Gesetzes 

18.1.1 Gesetzesinitiative muss neu gestartet 
werden - Zugriff auf PERFIS weiterhin 
ohne gesetzliche Grundlage 

ln meinem 18. TB (Nr. 15.1) habe ich von einem Gesetzge- 
bungsvorhaben zur Änderung des MAD-Gesetzes berichtet, 
das den automatisierten Zugrif f des MAD-Amtes auf das 
Personalfuhrungs- und Infonnationssystem der Bundeswehr 
(PERFIS — vgl. hierzu auch Nr. 30.2 ) auf eine spezialgesetz- 
liche Grundlage stellen sollte. Diese ist erforderlich, da es 
sich beim Zugriff auf das Datenbankprogramm PERFIS um 
eine automatisierte Abfrage von Personaldaten handelt. Das 
davon betroffene Personaldatengeheimnis darf nur durch- 
brochen werden, wenn dies nach dem Bundesbeamtengesetz 
bzw. dem Soldatengesetz zulässig ist. Da dies bisher nicht 
der Fall ist, hatte ich seit langem eine spezialgesetzliche Re- 
gelung für diesen Zugriff auf PERFIS für Zwecke des MAD 
gefordert, ln dem Entwurf eines Ersten Gesetzes zur Ände- 
rung des MAD-Gesetzes (Bundesratsdrucksache 1078/01 
vom 21. Dezember 2001) waren meine datenschutzrechtli- 
chen Forderungen berücksichtigt. Der Gesetzentwurf war 
das Ergebnis eingehender Beratungen des BMVg mit den 
beteiligten Ressorts und mir. Gegenüber früheren Entwürfen 
enthielt er deutliche Verbesserungen, wie z. B. 

- die Auflistung von - nur no ch - sieben unbedingt zur 
Identifizierung erforderlichen Personaldaten aus PERFIS 
(von insgesamt über 400 Datenfeldern); 

- die Zweckbindung der Abrufe; 

- die Vollprotokollierung aller Abrufe zu Kontrollzwe- 
cken; 

- den Erforderlichkeitsgrundsatz im § 14 Abs. 2, wonach die 
Übermittlung von Informationen an den MAD nach § 10 
Abs. 1 MAD-Gesetz nur rechtm äßig ist, wenn sie „erfor- 
derlich sein können“ (vorher: „dienlich sein können“); 

- detaillierte Einzelheiten in der vom BMVg zu erlassen- 
den Dienstvorschrift, bei der ich vor Erlass und auch vor 
jeder Änderung anzuhören bin. 

Der Gesetzentwurf unterfiel de r Diskontinuität, da er bis 
zum Ende der letzten Legislaturperiode nicht mehr verab- 
schiedet wurde. Nach meinen Erkenntnissen lag dies in un- 
terschiedlichen politischen Auffassungen zu dem ebenfalls 
in dem Entwurf geregelten Auslandseinsatz des MAD be- 
gründet. Bis Redaktionsschluss hat die Bundesregierung 
noch keinen neuen Gesetzesentwurf vorgelegt. 

18.1.2 Änderung des MAD-Gesetzes durch das 
Terrorismusbekämpfungsgesetz 

Durch das Terrorismusbekämpfüngsgesetz (s. o. Nr. 2.2) ist 
die Aufgabenstellung des MAD wie beim BfV auf die Be- 
obachtung von Bestrebungen, die gegen den Gedanken der 
Völkerverständigung, insbesondere gegen das friedliche Zu- 
sammenleben der Völker gerichtet sind, für den Personen- 
kreis, für den er zuständig ist, erweitert worden. Weiter darf 
er nach § 10 Abs. 3 MAD-Gesetz bei Betreibern von T ele- 
kommunikationsdiensten und T elediensten Auskünfte über 
Telekommunikationsverbindungsdaten und T eledienstenut- 
zungsdaten einholen. Seine Befugnisse bleiben damit hinter 
denen des BfV (§ 8 Abs. 5 bis 8 BVerfSchG, s. o. Nr. 17.1) 


und denen des BND (§ 2 Abs. la und § 8 Abs. 3a BND-Ge- 
setz, s. u. Nr. 19.1) zurück. Wegen meiner grundsätzlichen 
Bedenken gegen diese neuen Be fugnisse verweise ich auf 
die Ausführungen zu Nr. 17.1. 

18.2 „Elektronisches Büro“ im MAD-Amt - ein 
Konflikt mit dem Datenschutz 

BMVg und MAD-Amt haben mich frühzeitig an der Pla- 
nung eines IT- Vorhabens beteiligt, das die Infonnationsver- 
arbeitung des MAD durch ein Dokumentenmanagement-, 
ein Archiv- und ein Workflowsystem wesentlich verbessern 
und erweitern soll. Mit dem Pr ojekt in einer Abteilung be- 
ginnend, sollen auch datenschutzrechtliche Anliegen wie 
Zugriffsschutz auf Daten und Protokollierungen zum Zweck 
nachhaltiger Kontrollmöglichkeiten verbessert werden. 

Dabei tritt das Problem auf, dass die elektronische Speiche- 
rung und weitere Verarbeitung von Texten, Unterlagen und 
ganzen Akten zwangsläufig auch zur Speicherung und Wei- 
terverarbeitung von Daten über Personen führt, die nicht die 
Speicherkriterien des MAD-Gese tzes erfüllen. So erfolgt 
etwa bei der elektronischen Speicherung von Medienberich- 
ten eine Erfassung von Personen, die nicht in den Zustän- 
digkeitsbereich des MAD fallen (u. a. Randpersonen, Politi- 
ker, Wissenschaftler, Künstler). Solche Datensammlungen 
sind mit der geltenden Rechtslage nicht vereinbar . Damit 
stellt sich hier das gleiche Problem wie bei der Realisierung 
des „elektronischen Büros“ im BfV (s. 18. TB Nr . 14.1). 
Auch beim MAD-Amt will ich mich mit Blick auf die tech- 
nische Entwicklung einer Über gangslösung, die die Spei- 
cherung und eingeschränkte we itere Verarbeitung und Nut- 
zung dieser Datensammlungen ermöglicht, bis zum Erlass 
einer normenklaren Regelung nicht verschließen. 

Zu dem hier interessierenden Punkt wurde mir erklärt, eine 
Recherchemöglichkeit werde nur bezüglich solcher Personen 
eingerichtet, für die der MAD zuständig ist, und die damit die 
Speicherkriterien nach dem MAD-Gesetz erfüllen. Bei ei- 
nem gescannten Dokument soll für diesen Personenkreis ein 
separater Datensatz angelegt werden; nur insoweit sei eine 
Recherche möglich. Gegen ein solches V orgehen hätte ich 
keine grundsätzlichen datenschutzrechtlichen Bedenken. 

Weiter wollen BMVg und MAD-Amt dem Problem über 
eine dezidierte Protokollierung der Zugrif fe auf besondere 
Dateien, d. h. in besonders geschützte Speicherbereiche, be- 
gegnen. Diese stehen den allgemeinen Anwendern nicht zur 
Verfügung, sondern nur dem Auditor, den behördlichen Da- 
tenschutzbeauftragten und den für die IT -Sicherheit Verant- 
wortlichen. Meine Kontrollmöglichkeit bleibt davon unbe- 
rührt. Die datenschutzrec htlich gebotenen Regelungen 
müssten im Rahmen einer Dateianordnung abschließend 
und für die Bearbeiter eindeutig festgelegt werden. 

Ich habe dem BMVg mitgeteilt, dass ich gegen eine Weiter- 
führung des Projekts unter Beachtung der o. g. Anforderun- 
gen keine grundlegenden Einwände habe. Bis zum Redakti- 
onsschluss lagen mir allerdings die Feinkonzepte noch nicht 
vor, sodass eine abschließende Bewertung derzeit nicht 
möglich ist. 

18.3 Datenschutzrechtliche Kontrolle 

Im Berichtszeitraum habe ich eine datenschutzrechtliche Kon- 
trolle bei der MAD-Stelle Düsseldorf - einer von 14 MAD- 
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Außenstellen - durchgeführt. Die MAD-Stellen erledigen 
im Wesentlichen Aufträge, die das MAD-Amt erteilt. Dabei 
handelt es sich in mehr als 90 % der Fälle um Mitwirkungen 
im Bereich der Sicherheitsü berprüfungen für die im Ge- 
schäftsbereich des BMVg tätigen Mitarbeiter (s. Nr. 20.3.2). 
Nach Erledigung der Aufträge werden die Akten an das 
MAD-Amt zurückgesandt; ein Aktenrückhalt erfolgt bei 
den Außenstellen nicht. 

Zum Zeitpunkt der Kontrolle befanden sich bei der kontrol- 
lierten Stehe etwa 400 Aufträge in der Bearbeitung. 

Für die Bearbeitung der Aufträge führt die MAD-Stelle eine 
automatisierte Datei, die lediglich der V organgssteuerung 
dient und die es dem MAD-Amt ermöglicht, für eine ausge- 
glichene Auslastung der MAD- Stellen und der Prüfdienste 
zu sorgen. Als einziges personenbezogenes Datum enthält 
die Datei eine Personenidentif ikationsnummer, die für die 
Zuordnung zu dem betref fenden Vorgang erforderlich ist. 
Die Daten in dieser Datei werd en spätestens fünf Quartale 
nach Erledigung des Auftrags bzw . Rückgabe der Akten an 
das MAD-Amt gelöscht. 

Wie bereits bei einer früheren Kontrolle einer MAD-Außen- 
stelle (s. 17. TB Nr . 15.1) habe ich auch bei der Kontrolle 
der MAD-Stelle Düsseldorf datenschutzrechtliche Mängel 
oder sonstige V erstöße gegen datenschutzrechtliche V or- 
schriften nicht festgesteht. 

18.4 MAD zieht aufgrund meiner Bedenken 
Antrag auf Genehmigung einer Datei 
zurück 

Nach § 8 MAD-Gesetz (MADG) i. V . m. § 14 Bundesver- 
fassungsschutzgesetz (BVerfSchG ) hat der MAD für jede 
automatisierte Datei mit personenbezogenen Daten, die sich 
auf den Aufgabenbereich nach dem MADG bezieht, eine 
Dateianordnung zu erstelle n, die der Zustimmung des 
BMVg bedarf und zu der ich angehört werde. Auch im Be- 
richtszeitraum hat mir das BMVg einige Dateianordnungen 
übermittelt, die - bis auf eine Ausnahme - keine grundsätz- 
lichen datenschutzrechtlichen Probleme aufwarfen. 

ln der Datei, die auf datenschutzrechtliche Bedenken stieß, 
sollten Daten von bestimmten Personen gespeichert werden, 
deren Speicherung als Grundlage zur Erstellung einer Be- 
drohungsanalyse und zur Beurteilung der Sicherheitslage 
dienen sollte. Hierzu habe ic h erhebliche Zweifel geäußert, 
ob die Führung dieser Datei zur Erfüllung der Aufgaben 
nach § 1 Abs. 2 MADG zulässig ist, ohne dass Anhalts- 
punkte dafür vorliegen, ob die dort zu speichernden Perso- 
nen ihre Bestrebungen oder Tätigkeiten gegen Dienststellen 
oder Einrichtungen der Bundesw ehr oder der verbündeten 
Streitkräfte richten. Diese Datei hätte nicht die gesetzlichen 
Speicherkriterien nach dem MADG erfüllt, die an den Ge- 
schäftsbereich des BMVg a nknüpfen. Vielmehr ist der mit 
der Datei verfolgte Zweck de m Aufgabenbereich des BfV 
nach § 3 Abs. 1 BV erfSchG zuzuordnen. W enn Anhalts- 
punkte dafür vorliegen, dass sich solche Tätigkeiten gegen 
die in § 1 Abs. 2 MADG genannten Einrichtungen richten, 
ist das BfV nach § 10 Abs. 1 MADG zur Übermittlung per- 
sonenbezogener Daten an den MAD befugt. Erst dann wäre 
die Zuständigkeit des MAD gegeben. Bei der beabsichtigten 
Datei hätte es sich somit um eine datenschutzrechtlich unzu- 
lässige Vörratsspeicherung außerhalb des Anwendungsbe- 
reichs des MADG gehandelt. 


Aufgrund meiner Bedenken hat der MAD seinen Antrag auf 
Genehmigung dieser Datei zurückgezogen. 

19 Bundesnachrichtendienst 

19.1 Auch der BND erhält durch das 
Terrorismusbekämpfungsgesetz 
erweiterte Befugnisse 

Im Zuge des Terrorismusbekämpfungsgesetzes (TBG) vom 
9. Januar 2002 (s. u. 2.2) ist auch als Artikel 3 das BND-Ge- 
setz geändert worden. Danach erhält der BND, obwohl er 
Auslandsnachrichtendienst ist, zur Erfüllung seiner Aufga- 
ben, dem § 8 Abs. 5 f f. Bundesverfassungsschutzgesetz fol- 
gend, Auskunftsbefügnisse bei Banken, sonstigen Finanz- 
dienstleistem sowie im Bereich der T elekommunikation 
(vgl. § 2 Abs. la BND-Gesetz n. F.). Die dabei zu beachten- 
den verfahrensrechtlichen Schutzvorkehrungen entsprechen 
den Regelungen im Bundesverfassungsschutzgesetz (s. im 
Einzelnen unter Nr. 17.1). Insbesondere gilt auch die Befris- 
tung der Regelung auf fünf Jahre und die Evaluationsver- 
pflichtung gemäß Artikel 22 TBG. 

19.2 Trotz einiger datenschutzrechtlicher 
Verbesserungen bleibt das neue Artikel 
10-Gesetz hinter einigen Erwartungen 
zurück 

Das Gesetz zur Neuregelung von Beschränkungen des 
Brief-, Post- und Fernmeldegeheimnisses (Artikel 10-Ge- 
setz - G10) ist am 29. Juni 2001 in Kraft getreten (BGBl. 1 
S. 1253). Damit wurde die zeitliche \brgabe des Bundesver- 
fassungsgerichts in seiner Entscheidung vom 19. Juli 1999 
eingehalten. Das Gericht hatt e darin einige Bestimmungen 
des G10 im Bereich der strategischen Femmeldeaufklärung 
durch den Bundesnachrichtendienst für verfassungswidrig 
erklärt (s. 18. TB Nr. 16.1.1). Die Bundesregierung hat das 
Gesetzgebungsverfahren dazu genutzt, über die V orgaben 
des Gerichts hinaus weitere Änderungen im GlO-Bereich zu 
erreichen. 

Das G10 enthält neben Änderungen zur strategischen Fem- 
meldekontrolle auch einige datenschutzrechtlich erfreuliche 
Verbesserungen, wie die deutliche Stärkung der parlamenta- 
rischen Kontrolle der Tätigkeit der Nachrichtendienste, wei- 
ter reichende Pflichten zur Löschung von Daten und die Ein- 
beziehung auch der Individualanordnung nach § 3 G10 in die 
Berichtspflicht des Parlamentarischen Kontrollgremiums an 
den Deutschen Bundestag (§ 14 Abs. 1 Satz 2 G10). 

Allerdings ist die Forderung der Datenschutzbeauftragten 
des Bundes und der Länder in der Entschließung der 6 1 . Da- 
tenschutzkonferenz (s. Anlage 12), die neuen Regelungen 
zur Erweiterung der Überwachungsbefügnis auf Einzeltäter 
und lose Gruppierungen (§3 Abs. 1 Nr 6 G10), zu Parteien- 
verbotsverfahren (§ 4 Abs. 3 Nr . 3 G10), zur V erwendung 
von GlO-Erkenntnissen bei Gefahren für Leib oder Leben 
einer Person im Ausland ( § 8 G 1 0 ) und zu Spontan- 
übermittlungen an den BND (§ 8 Abs. 2 BND-Gesetz) zu 
befristen und einer wirksamen und umfassenden Erfolgs- 
kontrolle (Evaluation) zu unterziehen, nicht in dieser W eise 
aufgegriffen worden. Der Gesetzgeber hat gleichwohl die 
Bundesregierung in einer Protokollnotiz aufgefordert, ihn 
nach Ablauf von zwei Jahren nach In-Kraft-T reten der Ge- 
setzesänderungen „über die m it der Novellierung gemach- 
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ten Erfahrungen, insbesondere unter dem Gesichtspunkt des 
Datenschutzes“, zu unterrichten. 

Vor dem Hintergrund, dass der Gesetzgeber nunmehr im Ter- 
rorismusbekämpfungsgesetz vom 9. Januar 2002 eine Eva- 
luierungsverpflichtung vor allem bezüglich der neuen Befug- 
nisse der Nachrichtendienste statuiert hat (s. o. Nr . 2.3.1), 
sehe ich dieser Unterrichtung mit Interesse entgegen. 

19.3 Quellenschutz und datenschutzrechtliche 
Kontrolle - ein Konflikt, der sich lösen 
lässt 

Mit dem BfV habe ich vor Jahren ein V erfahren vereinbart, 
wie die Interessen des BfV an einer Geheimhaltung nach- 
richtendienstlicher Verbindungen mit meiner umfassenden 
Kontrollbefügnis in Einklang gebracht werden können. Da- 
nach verwehrt das BfV meinen Mitarbeitern eine Einsicht- 
nahme in quellengeschützte Unterlagen nur dann, wenn aus 
den Unterlagen direkt auf eine Quelle geschlossen werden 
kann (s. 18. TB Nr. 14.2). 

Die Frage der Einsichtnahme in operative Quellenakten und 
Quellenschutz habe ich auch mit dem BND im Rahmen ei- 
nes Kontrollbesuchs im Jahre 2001 erörtert. Der BND hat 
hierzu unter anderem erklärt, dass der V ertrauensschutz so- 
wohl im Rahmen bereits best ehender nachrichtendienstli- 
cher Verbindungen als auch im Hinblick auf neu aufzubau- 
ende Kontakte zu Zielpersonen ein unverzichtbares und 
prägendes Element jeglicher nachrichtendienstlicher Arbeit 
mit menschlichen Quellen sei. Zu bedenken sei in diesem 
Zusammenhang aber auch das Schutzinteresse des BND 
selbst an den operativen Akten (opAkten). 

Ein Vergleich mit den beim BfV geführten Akten sei nicht 
möglich. Die opAkten des BND seien anders aufgebaut; zu- 
dem werde dort auch nicht zwischen Sach- und Personenak- 
ten unterschieden, ln der übe rwiegenden Mehrzahl aller 
opAkten ließe sich aus dem Aktenzusammenhang direkt auf 
die menschliche Quelle schließen. 

Ich verkenne zwar nicht die unterschiedliche Ausgangslage 
beim BND im V ergleich zum BfV. Es muss aber auch für 
den BND ein vernünftiger W eg gefunden werden, der den 
Notwendigkeiten - Kontroll e durch mich und Quellen- 
schutz - Rechnung trägt. Die bisherige Ar gumentation des 
BND und dessen Lösungsvorschläge, auf die ich aus Grün- 
den der Geheimhaltung hier nicht näher eingehen kann, ha- 
ben mich nicht überzeugt. Ich werde dieses Thema im Rah- 
men künftiger Kontrollbesuche erneut aufgreifen und darauf 
drängen, dass auch hier ein Kompromiss zwischen den be- 
rechtigten Interessen des BND und meinem gesetzlichen 
Auftrag gefunden wird. 

19.4 Datenschutzrechtliche Kontrollen - neben 
alt bekannten Themen auch neue 
Probleme 

Im Berichtszeitraum habe ich die Verarbeitung personenbe- 
zogener Daten in mehreren Fachdateien des BND kontrol- 
liert. Hierzu wurde jeweils na ch einem Zufallsprinzip eine 
Anzahl von Datensätzen ausgewählt. Bei den Kontrollen 
habe ich hinsichtlich der Speicherung personenbezogener 
Daten keine nennenswerten datenschutzrechtlichen V er- 
stöße festgestellt. 

Probleme haben sich aber in anderen Bereichen gezeigt: 


Nach § 5 Abs. 1 BNDG i. V. m. § 12 Abs. 3 BVerfSchG 
hat der BND bei jeder Einzelfallbearbeitung und nach 
festgesetzten Fristen, spätestens nach fünf Jahren zu prü- 
fen, ob gespeicherte personenbezogene Daten zu berich- 
tigen oder zu löschen sind. Hi erzu wird in den Dateien 
zu jedem Datensatz ein W iedervorlage-Datum gesetzt 
und der Datensatz zum jeweiligen W iedervorlage-Ter- 
min vorgelegt. Bei der Kontrolle einer Fachdatei habe 
ich jedoch festgestellt, dass bei der Regelüberprüfüng 
nach fünf Jahren erhebliche Mängel bestehen. Die zu 
überprüfenden Datensätze werden zum Überprüfungs- 
Zeitpunkt zwar vorgelegt, eine individuelle Prüfung auf 
Richtigkeit und Erfordernis der weiteren Speicherung 
scheint aber in der Regel nicht durchgeführt zu werden. 
Vielmehr wird nach meinen Feststellungen in vielen Fäl- 
len das W iedervorlage-Datum ohne nähere Prüfung um 
weitere fünf Jahre verlängert. 

Der BND räumte ein, die Überprüfungen wegen des da- 
mit verbundenen hohen Arbeits- und Zeitaufwandes 
nicht immer tagesaktuell durchführen zu können. Den 
Vorwurf der fehlenden Einzelfallprüfüng wies er aller- 
dings zurück. Dies deckt sich jedoch nicht mit meinem 
bei dem Kontrollbesuch gewonnenen Eindruck und den 
Gesprächen, die hierbei mit den verantwortlichen Mitar- 
beitern des BND geführt wurden. 

Die hohe Arbeitsintensität, die nach Aussage des BND 
an personelle Kapazitätsgrenzen stößt - am Tage meines 
Kontrollbesuchs wurden 36 zu überprüfende Datensätze 
angezeigt -, kann den BND aber nicht von der gesetz- 
lichen Verpflichtung des § 5 BNDG i. V. m. § 12 Abs. 3 
BVerfSchG entbinden. Ich habe diesen daher aufgefor- 
dert, die Mitarbeiter erneut und mit Nachdruck auf diese 
gesetzliche Verpflichtung hinzuweisen und anzuhalten, 
bei jeder Einzelfallbearbe itung und bei den regelmäßi- 
gen Wiedervorlage-Terminen zeitnah eine „echte“ Über- 
prüfung vorzunehmen. 

ln diesem Zusammenhang warf der BND zum wieder- 
holten Male die Frage auf, ob die fünljährige Überprü- 
fungsverpflichtung für einen Auslandsnachrichtendienst 
überhaupt zweckmäßig sei. Der Gesetzgeber hat jedoch 
in den vorgenannten Vorschriften eine eindeutige Rege- 
lung getroffen, deren Beachtung sich der BND aus rei- 
nen Zweckmäßigkeitserwägungen nicht entziehen kann. 

Organisatorische Änderungen und neuere Entwicklun- 
gen in der DV-Anwendung haben den BND dazu veran- 
lasst, bisherige Dateianwendungen in einigen Bereichen 
auf neue Systeme umzustellen. Diese Umstellung be- 
dingt u. a., Daten aus bisher igen Dateien in die neuen 
Systeme zu überführen. Auf die alten Dateien besteht 
nur noch lesender Zugriff. Bei der Überführung der Da- 
ten in die neuen Dateien habe ich einen erheblichen Ar- 
beitsrückstand festgestellt. Laut BND würde das Fehlen 
erfahrenen Personals und der hohe Zeitaufwand — es 
dauere bis zu einem Arbeitstag pro Datensatz, z. B. un- 
terschiedliche Schreibweisen von Personen in Überein- 
stimmung zu bringen, bevor ein entsprechender Daten- 
satz in die neue Datei überspielt werden könne — 
bedingen, dass diese Altdatenbereinigung noch einige 
Zeit in Anspruch nehmen würde. Der BND äußerte je- 
doch die Erwartung, diese Probleme bis Ende 2004 be- 
heben zu können. 
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Der vom BND seit Jahren i mmer wieder gegebene Hin- 
weis auf seine personellen Engpässe kann an seiner Ver- 
pflichtung, gesetzlich vor geschriebene Überprüfungs- 
und Bereinigungsarbeiten zeitnah bzw. in einem vertret- 
baren und angemessenen Zeitrahmen durchzuführen, 
nichts ändern. Ich habe daher den BND gebeten, die rück- 
ständigen Bereinigungsarbeiten in dem kontrollierten Be- 
reich bis zu dem vorgenannten Zeitpunkt abzuschließen. 

Im Zusammenhang mit der Kontrolle einer Fachdatei hat 
der BND seine Absicht mitge teilt, einer Behörde außer- 
halb des BND personenbezogene Daten im W ege der 
Online-Übermittlung zur V erfügung zu stehen. Gegen 
diese Absicht habe ich datenschutzrechtliche Bedenken 
geäußert. Zwar ist nach § 10 BDSG die Einrichtung ei- 
nes automatisierten V erfahrens, das die Übermittlung 
personenbezogener Daten durch Abruf ermöglicht, zu- 
lässig. Jedoch ist die Anwendung dieser Vorschrift durch 
§ 1 1 BNDG ausgeschlossen. Ich halte daher einen On- 
line-Zugriff von Drittstellen auf personenbezogene Da- 
ten in BND-Dateien wegen der Nichtanwendbarkeit des 
§ 10 BDSG und des Fehlens einer spezialgesetzlichen 
Vorschrift im BNDG grundsätzlich für unzulässig. Dies 
gilt im Übrigen auch für die Datenbestände der anderen 
Nachrichtendienste. 

Das Bundeskanzleramt und de r BND halten dagegen 
eine Online-Übermittlung in bestimmten Fällen für er- 
forderlich und auch zulässig. § 1 1 BNDG sei nach seiner 
Entstehungsgeschichte nicht dahin zu verstehen, dass 
dem BND die in § 10 BDSG beschriebene Möglichkeit 
der Datenübermittlung verboten wäre. § 1 1 BNDG stehe 
lediglich klar, dass die für den BND geltenden Spezial- 
vorschriften nach dem BNDG den Umgang mit perso- 
nenbezogenen Daten besonders regeln und die einschlä- 
gigen Spezialvorschriften den korrespondierenden 
Nonnen des BDSG Vorgehen würden. 

Dieser Auffassung konnte ich mich auch in einer gemein- 
samen Besprechung mit dem Bundeskanzleramt und dem 
BND nicht anschließen. Denn bei der Übermittlung per- 
sonenbezogener Daten im Wege des automatisierten Ab- 
rufs handelt es sich um eine besondere Art der Übermitt- 
lung, bei der u. a. die n ach § 9 BNDG erforderliche 
Einzelfallprüfüng entfällt. Mit § 1 1 BNDG hat der Ge- 
setzgeber jedoch eindeutig geregelt, dem BND - ebenso 
wie dem BfV nach dem BVerfSchG und dem MAD nach 
dem MADG - diese besondere Übermittlungsart ohne 
Einzelfallprüfung nicht einzuräumen. 

Das Bundeskanzleramt wies hingegen darauf hin, dass 
ein Vergleich mit dem BfV und dem MAD in dieser 
Frage irreführend sei, da § 1 Abs. 2 Satz 2 BNDG einen 
wesentlichen Unterschied zu diesen Behörden verdeutli- 
che. Nach dieser V orschrift richte sich die Erhebung, 
Verarbeitung und Nutzung personenbezogener Daten nur 
dann nach dem BNDG, wenn diese im Geltungsbereich 
dieses Gesetzes erhoben werden, ln der hier in Rede ste- 
henden Datei seien aber nahezu ausschließlich Daten er- 
fasst, die im Ausland erhoben worden seien. Es sei un- 
verhältnismäßig, einen automatisierten Abruf wegen des 
sehr geringen Anteils von im Inland erhobenen Daten 
generell auszuschließen. 

Diese Betrachtungsweise des Bundeskanzleramtes hätte 
Auswirkungen auf zahlreiche Dateien des BND mit der 


Konsequenz, dass personenbezogene Daten dahin gehend 
zu kennzeichnen wären, ob diese im Inland oder im Aus- 
land erhoben wurden. Nur so ließe sich eindeutig fest- 
stellen, ob für den Umgang mit diesen Daten das BNDG 
oder das BDSG anzuwenden ist. Eine solche Abgren- 
zung dürfte besonders bei den durch Residenturen erho- 
benen Daten kaum zu realisieren sein. 

Die Diskussion über diese Rechtsfrage ist noch nicht ab- 
geschlossen. Bemerkenswert ist jedenfalls, dass dieses 
Problem erstmals nach zwölf Jahren Anwendung des 
BNDG auftritt. Das Bundeskanzleramt hat mir eine er- 
gänzende Stellungnahme angekündigt. Des W eiteren 
habe ich das Ressort, dem die Daten durch die Einrich- 
tung eines automatisierten V erfahrens zur V erfügung 
gestellt werden sollen, gebeten, seinen Bedarf und die 
Notwendigkeit für diese besondere Übermittlungsart dar- 
zulegen. 

Beide Stellungnahmen lagen mir bei Redaktionsschluss 
noch nicht vor. 

Nach § 4g Abs. 2 BDSG ist dem behördlichen Daten- 
schutzbeauftragten von der ve rantwortlichen Stelle eine 
Übersicht über alle V erfahren automatisierter Verarbei- 
tung personenbezogener Daten zur Verfügung zu stellen. 
Nachdem der BND sich zunächst geweigert hatte, mir 
zur Ausübung meines umfassenden Kontrollrechts eine 
Übersicht aller beim BND geführten Dateien mit perso- 
nenbezogenen Daten zu übermitteln, hat er mir schließ- 
lich Gelegenheit gegeben, in das von der behördlichen 
Datenschutzbeauftragten zusammengestellte Gesamtver- 
zeichnis Einsicht zu nehmen. Hierbei habe ich eine be- 
denklich hohe Anzahl von Dateien festgestellt, die zwar 
zum Teil unter den Anwendungsbereich des BNDG fal- 
len, darüber hinaus aber auch so genannnte Wrwaltungs- 
dateien außerhalb dieses Anwendungsbereichs, die nicht 
dem BNDG unterfallen. V iele dieser Dateien sind im 
Laufe der Zeit von Mitarbeitern des BND gewisserma- 
ßen als „Handakten“ angelegt worden und entsprechen 
in keiner Weise den datenschutzrechtlichen Erfordernis- 
sen. Selbst zu den Dateien für den eigentlichen Aufga- 
benbereich des BND liegen überwiegend keine Dateian- 
ordnungen nach § 6 BNDG i. V. m. § 14 BVerfSchG vor. 
Die so genannnten V erwaltungsdateien, die von den 
Fachabteilungen geführt werden und die u. a. auch per- 
sonenbezogene Daten zu Mitarbeitern der jeweiligen 
Abteilung enthalten, dürften — ohne dass dies von mir 
bisher näher geprüft werden konnte - den V orschriften 
der §§90 ff. Bundesbeamtengesetz nicht entsprechen. 

Ich habe den BND dringend aufgefordert, diesen rechts- 
widrigen Zustand zu beseitigen, den dieser selbst als un- 
haltbar bezeichnet. Ziel se i es, die nicht genehmigten 
Dateien in ein geordnetes Genehmigungsverfahren oder 
die dort enthaltenen Daten in bestehende genehmigte 
Dateien zu überführen bzw . die unzulässigen Dateien 
ganz zu löschen. Dies werde jedoch wegen der großen 
Anzahl der Vorgefundenen Dateien eine geraume Zeit in 
Anspruch nehmen. 

Ich werde die Umsetzung dieser Bereinigungsarbeiten 
sorgfältig beobachten und nach einer angemessenen Zeit 
kontrollieren. Von einer förmlichen Beanstandung nach 
§ 25 Abs. 1 BDSG habe ich zunächst abgesehen. 
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- ln dem vorstehend beschriebenen Zusammenhang wurde 
auch folgende Problemstellung erörtert: ln vielen Berei- 
chen des Dienstes ergebe sich für den BND die Notwen- 
digkeit zu Datenhaltungen und -Sammlungen, die sich 
entweder wegen ihres noch vagen Analyseaspekts als 
noch nicht speicherfähig in gefestigten Dateistrukturen 
erwiesen hätten, oder die ad-hoc zur schnellen Krisenre- 
aktion erforderlich würden. Die aktuell erforderliche und 
im Rahmen der Berichtsp flicht nach § 12 BNDG ge- 
prägte Ad-hoc -Auftragserledigung ließe sich vielfach 
mit den regulären Fachdateien nicht realisieren. Es seien 
daher so genannnte Arbeitsdateien erforderlich, die aber 
die Kriterien für ein geordnetes Genehmigungsverfahren 
nach § 6 BNDG noch nicht voll erfüllen würden. Nach- 
dem ich mich anhand der Präsentation von zwei vorgese- 
henen Ad-hoc -Arbeitsdateien von deren Zweckmäßig- 
keit und Notwendigkeit überzeugen konnte, wurde mit 
dem BND folgendes Verfahren festgelegt: 

- Für die so genannnten Ad-hoc-Arbeitsdateien wird 
mir der BND, soweit möglich, in einer Dateimeldung 
die in § 14 Abs. 1 BV erfSchG genannten notwendi- 
gen Angaben übermitteln. Flierbei ist vor allem der 
Zweck der Datei themenartig zu beschreiben. 

— Solche Arbeitsdateien unterliegen einer Höchstspei- 
cherdauer von sechs Monaten. Nach Ablauf dieser 
Frist hat 

- bei Beendigung des Auftrags eine Überführung 
der Daten in bestehende, genehmigte Fachdateien 
zu erfolgen; ansonsten sind die Daten zu löschen 

oder 

- bei Verstetigung des Auftrages die Erstellung ei- 
ner Dateianordnung zu erfolgen. 

Nach dieser Verfahrensfestlegung hat mir der BND für 
die beiden Dateien, die er mir zuvor zur Begründung der 
Notwendigkeit präsentiert hatte, entsprechende Datei- 
meldungen zugeleitet, die die vorgenannten Kriterien im 
Wesentlichen erfüllen und die nach Form und Inhalt eine 
gangbare Lösung darstellen. Dies könnte auch auf an- 
dere künftig erforderliche Ad-hoc-Arbeitsdateien über- 
tragen werden. 

20 Sicherheitsüberprüfung 

20.1 Sicherheitsüberprüfungen nun auch bei 

Tätigkeiten in lebens- und verteidigungs- 
wichtigen Einrichtungen 

Im Rahmen des Terrorismusbekämpfüngsgesetzes vom 9. Ja- 
nuar 2002 (vgl. Nr 2) als Folge der Ereignisse des 11. Septem- 
ber 2001 wurde auch das Sich erheitsüberprüfüngsgesetz 
(SÜG) um den so genannten vorbeugenden personellen Sabo- 
tageschutz erweitert. Bislang galt das SÜG nur für den perso- 
nellen Geheimschutz, also den Umgang mit V erschlusssa- 
chen, die mit VS-vertraulich oder höher eingestuft sind. 
Nunmehr übt nach § 1 Abs. 4 SÜG eine sicherheitsempfindli- 
che Tätigkeit auch aus, wer an einer sicherheitsempfindlichen 
Stelle innerhalb einer lebens - oder verteidigungswichtigen 
Einrichtung oder wer innerhalb einer besonders sicherheits- 
empfindlichen Stelle des Geschäftsbereichs des BMVg („Mi- 
litärischer Sicherheitsbereich“) beschäftigt ist oder werden 
soll. Ziel dieser Gesetzesänderung ist es, sicherheitsempfind- 
liche Stellen in lebens- und verteidigungswichtigen Einrich- 


tungen sowohl im öffentlichen als auch im nicht öffentlichen 
Bereich vor so genannten Inne ntätem zu schützen. Der Zu- 
gang zu VS-Unterlagen ist in di esen Fällen nicht mehr V o- 
raussetzung für eine Sicherheitsüberprüfüng. Ähnliche Über- 
prüfungen gibt es bereits na ch dem Atomgesetz und dem 
Luftverkehrsgesetz. 

Um einer uferlosen Überprüfüngspraxis vorzubeugen, habe 
ich im Zuge des Gesetzgebungsverfahrens gefordert, den 
Begriff der sicherheitsempfindl ichen Stelle innerhalb einer 
lebens- und verteidigungswichtigen Einrichtung im Gesetz 
klar zu definieren. Dieser Forderung ist der Gesetzgeber 
nachgekommen und hat mit den Definitionen in § 1 Abs. 5 
SÜG eine ausreichende Klar Stellung vorgenommen. Ferner 
habe ich gefordert, die lebe ns- und verteidigungswichtigen 
Einrichtungen in einer Verordnung enumerativ aufzuzählen. 
Das BMI hat inzwischen aufgrund der ebenfalls erweiterten 
Ermächtigung in § 34 SÜG den Referentenentwurf einer 
„Verordnung zur Feststellung der Behörden des Bundes mit 
Aufgaben von ver gleichbarer Sicherheitsempfindlichkeit 
wie die der Nachrichtendienste des Bundes und zur Feststel- 
lung der öffentlichen Stellen des Bundes und der nicht öf- 
fentlichen Stellen mit lebens- oder verteidigungswichtigen 
Einrichtungen (Sicherheitsüberprüfüngsfeststellungsverord- 
nung)“ vorgelegt. In diesem V erordnungsentwurf werden 
die lebens- und verteidigungswichtigen Einrichtungen ab- 
schließend festgelegt. Zu einer von mir zunächst befürchte- 
ten uferlosen Überprüfungspraxis wird es nach dem vor ge- 
legten Verordnungsentwurf nicht kommen. Der Eingrif f in 
das Persönlichkeitsrecht wird durch die überschaubare An- 
zahl der in dem Verordnungsentwurf festgeschriebenen Ein- 
richtungen und die im Gesetz festgelegte Beschränkung auf 
eine einfache Sicherheitsüberprüfüng, bei der z. B. die Ein- 
beziehung des Ehegatten oder Lebenspartners nicht vor ge- 
sehen ist, in einem vertretbaren Rahmen gehalten. Zudem 
sind solche Überprüfungen stets nur mit der Zustimmung 
des Betroffenen möglich. 

Bei Redaktionsschluss war die V erordnung noch im Sta- 
dium des Referentenentwurfs. 

20.2 Luftverkehrsgesetz und Luftverkehrs- 

Zuverlässigkeitsüberprüfungsverordnung 
der neuen Gefährdungssituation 
angepasst 

Mit dem ersten Sicherheitspaket (s. Nr . 2.2.1) wurde - als 
umgehende Reaktion auf die Ereignisse vom 1 1 . September 
2001 - nach jahrelanger Vorbereitung (vgl. 16. TB Nr. 17.2) 
die Luftverkehrs-Zuverlässigkeitsüberprüfungsverordnung 
(LuftVZÜV) vom 8. Oktober 2001 (BGBl. I S. 2625) erlas- 
sen. Dabei handelt es sich im Wesentlichen um den Entwurf, 
der bereits im Mai 2000 dem Bundesministerium für V er- 
kehr, Bau- und Wohnungswesen vorlag. 

Erst in einem zweiten Schritt wurde mit dem Terrorismusbe- 
kämpfüngsgesetz vom 9. Januar 2002 (s. Nr. 2.2.3) die auch 
von mir kritisierte Ermächtigun gsnonn des § 29d Luftver- 
kehrsgesetz (LuftVG) in eine normenklare Rechtsgrundlage 
umgewandelt. Diese Vorschrift und dazu die §§ 19b, 20a und 
32 Abs. 2b LuftVG enthalten nunmehr -der W esentlich- 
keitstheorie des Volkszählungsurteils entsprechend - die Re- 
gelungen, die durch den Gesetzgeber selbst zu erfolgen ha- 
ben. Dies sind alle Tatbestände, die wesentliche Rechte des 
Betroffenen bei der Verarbeitung seiner Daten berühren. An 
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der Vorbereitung des nunmehr geltenden T extes war ich im 
August 2001 auf Arbeitsebene intensiv beteiligt. § 29d 
LuftVG regelt vor allem, dass zum Schutz vor Angriffen auf 
die Sicherheit des Luftverkehrs die Zuverlässigkeit verschie- 
dener Personengruppen, die in Ausübung ihrer beruflichen 
Tätigkeit nicht nur gelegentlich Zugang zu Flugsicherheitsbe- 
reichen haben, zu überprüfen ist. Die Zuverlässigkeitsüber- 
prüfüng entfällt, wenn der Betrof fene im Inland innerhalb 
der letzten zwölf Monate ei ner zumindest gleichwertigen 
Überprüfung unterzogen worden ist und keine Anhalts- 
punkte für seine Unzuverlässi gkeit vorliegen oder der Be- 
troffene der Sicherheitsüberprüfung nach § 9 Sicherheits- 
überprüfungsgesetz (SÜG) oder nach § 10 SÜG unterliegt. 
Im Rahmen der Überprüfung darf die zuständige Luftfahrt- 
behörde nach § 29d Abs. 2 LuftVG 

— die Identität des Betroffenen prüfen; 

— Anfragen bei den Polizei- und V erfassungsschutzbehör- 
den der Länder stellen; 

— beim Bundeskriminalamt, dem Bundesamt für V erfas- 
sungsschutz, dem Bundesnachrichtendienst, dem Militä- 
rischen Abschirmdienst und dem Bundesbeauftragten 
für die Unterlagen des Staatssicherheitsdienstes der ehe- 
maligen DDR Informationen einholen; 

— eine unbeschränkte Auskunft aus dem Bundeszentralre- 
gister erhalten; 

— soweit im Einzelfall erforderlich, Anfragen bei den Flug- 
platz-, Luftfahrt- und Flugsicherungsuntemehmen stellen; 

— den gegenwärtigen Arbeitgeber des Betrof fenen nach 
dort vorhandenen, für die Beurteilung der Zuverlässig- 
keit bedeutsamen Informationen fragen. Darüber hinaus 
darf sie bei Zweifeln an der Zuverlässigkeit des Betroffe- 
nen zur Behebung dieser Zweifel erforderliche Aus- 
künfte von Strafverfolgungsbehörden einholen. 

Die Überprüfung bedarf der Zustimmung des Betrof fenen. 
Über sein V erweigerungsrecht nach § 29 Abs. 4 Satz 4 
LuftVG ist er vorher zu belehren. Nicht zu verkennen ist je- 
doch, dass die Zustimmung kaum verweigert werden kann, 
sollen berufliche Nachteile vermieden werden. Jedenfalls ist 
dem Betroffenen vor der Entscheidung der Luftfahrtbehörde 
Gelegenheit zu geben, sich zu den eingeholten Auskünften 
zu äußern, soweit diese Zweifel an seiner Zuverlässigkeit 
begründen und Geheimhaltungspflichten nicht entgegenste- 
hen. Dabei ist der Betrof fene nach § 29d Abs. 4 Satz 3 
LuftVG verpflichtet, wahrheitsgemäße Angaben zu machen 
und ihm nachträglich bekannt werdende, für die Überprü- 
fung bedeutsame T atsachen unverzüglich anzuzeigen, ln 
§ 29d Abs. 5 LuftVG ist die Zweckbestimmung der V erar- 
beitung und Nutzung geregelt. 

Aufgrund der neuen Regelungen im LuftVG wurden - in 
erster Linie klarstellende - Änderungen der LuftVZÜV er- 
forderlich. Darüber hinaus geht es u. a. um die Erweiterung 
des zu überprüfenden Personenkreises. Hier kam es im Rah- 
men der Länderbeteiligung und der Beteiligung der V er- 
bände der Luftfahrt zu Diskussionen. So wurden z. B. die 
Einbindung der Luftfahrtunternehmen als Arbeitgeber in die 
Durchführung der Zuverlässigkeitsüberprüfung als hoheitli- 
che Maßnahme kritisiert und darin auch datenschutzrechtli- 
che Probleme gesehen. W eiter wurde die neue Regelung, 
wonach die Zuverlässigkeit auch dann versagt werden kann, 
wenn der Betroffene seiner Mitwirkungspflicht nicht oder 


nicht ausreichend nachkommt und daher die entsprechenden 
Grundlagen für die Überprüfung fehlen, als rechtswidrig be- 
zeichnet. Diese Regelung sei von der Ermächtigungsgrund- 
lage des § 29d LuftVG nicht umfasst; die Mitwirkungs- 
pflicht gehe zu weit. 

Eine Reaktion der Bundesreg ierung lag bis Redaktions- 
schluss noch nicht vor. 

20.3 Durchführung von datenschutz- 
rechtlichen Kontrollen - erfreulich hoher 
datenschutzrechtlicher Standard 

Nach dem Sicherheitsüberprüfüngsgesetz (SÜG) ist eine Per- 
son, die mit einer sicherheitsempfmdlichen Tätigkeit betraut 
werden soll, zuvor einer Sicherheitsüberprüfüng (SÜ) zu un- 
terziehen. Zuständig für die SÜ ist grundsätzlich die Be- 
hörde, die einer Person eine sicherheitsempfmdliche Tätig- 
keit zuweisen, übertragen oder sie dazu ermächtigen will. 
Mitwirkende Behörde, d. h. die Behörde, die die SÜ durch- 
führt, ist das BfV bzw . im Geschäftsbereich des BMVg der 
MAD. Der BND, das BfV und der MAD sind für ihre eigenen 
Bediensteten zugleich zuständige und mitwirkende Behörde. 

Im Berichtszeitraum habe ich das Verfahren nach dem SÜG 
beim BND (Nachkontrolle), MAD, BfV (als mitwirkende 
Behörde), AA und bei zwei Unternehmen kontrolliert. 

20.3.1 BND (Nachkontrolle) 

Bei einer Kontrolle im Jahre 2000 hatte ich bemängelt, dass 
auch mehr als fünf Jahre nach In-Kraft-Treten des SÜG Ab- 
schlussberichte der SÜ noch vollständig als recherche- 
fähiger Text in der „SÜ-Datei“ des BND gespeichert waren 
(s. 18. TB Nr. 17.2). Der BND hat hierzu mitgeteilt, dass die 
seit dem 1. April 1994 eingestellten Langfassungen der Ab- 
schlussberichte zum 31. Mai 2001 gelöscht und durch ent- 
sprechende Kurzfassungen ersetzt worden seien. Hiervon 
konnte ich mich bei einer Nachkontrolle im Jahre 2002 
überzeugen. Dagegen war eine solche Bereinigung bei den 
Abschlussberichten, die vor In-Kraft-T reten des SÜG ge- 
speichert worden waren, weitestgehend noch nicht erfolgt; 
sie sollte nach Aussage des BND im Einzelfall bei der lau- 
fenden Bearbeitung erfolgen. Zur beschleunigten Aufarbei- 
tung dieser Berichte sollten nach Angaben des BND perso- 
nalverstärkende Maßnahmen ergriffen werden. Hierzu ist es 
jedoch — nicht zuletzt vor dem Hinter grund der Ereignisse 
des 11. September 2001 —bi slang nicht gekommen. Ich 
habe gegenüber dem BND erklärt, dass ich für die personel- 
len Probleme, gerade nach den T erroranschlägen im Jahre 
2001, zwar Verständnis habe, dennoch bedürfe es nach wie 
vor organisatorischer und pe rsoneller Überlegungen, wie 
die Akten- und Datenbereinigung erfolgen soll. Die Ab- 
schlussberichte aus den Jahren vor 1994 nur im Einzelfall 
gelegentlich einer Sachbearbeitung zu kürzen, halte ich 
nach den gesetzlichen Regelungen für eine nicht ausrei- 
chende Maßnahme. Der BND hofft, eine Lösung des Pro- 
blems durch eine effektive Nachbesetzung von vakanten 
Dienstposten - im Jahre 2002 waren in diesem Or ganisati- 
onsbereich nach Angaben des BND zehn von 68 Dienstpos- 
ten nicht besetzt - zu erreichen. 

Auch die Bereinigung von Altakten wird sich weiter verzö- 
gern. Der BND hat zwar inzwischen eine Arbeitsanweisung 
erlassen, die eine Liste von Unterlagen enthält, die 
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- bei der Aktualisierung, 

- beim Abschluss einer Wiederholungsprüfung, 

- bei Akteneinsicht durch berechtigte Stellen oder 

- bei Abgabe an das Bereichsarchiv wegen Ausscheidens 
eines Mitarbeiters 

zu entnehmen und zu vernichten sind. Bis auf die detaillierte 
Arbeitsanweisung, deren Erstellung und Inkraftsetzung ich 
begrüße, hat sich der Sachstand vor allem im Bereichsarchiv 
jedoch nicht wesentlich verändert. Nach wie vor ist nahezu 
der gesamte Altaktenbestand im Bereich der SÜ noch nicht 
bereinigt. Der BND begründet dies ebenfalls mit der ange- 
spannten Personalsituation nach dem 1 1. September 2001. 
Für diese Bereinigungsarbeiten stehe kein zusätzliches Per- 
sonal zur V erfügung. Die vorhandenen Mitarbeiter seien 
zwar angewiesen, neben ihren eigentlichen Aufgaben im 
Bereich der aktuell durchzuführenden SÜ auch Altakten des 
Bereichsarchiv zu bereinigen. Ohne gezielte Personalver- 
stärkung werde jedoch auch dieses Verfahren noch einen er- 
heblichen Zeitraum beanspruchen. 

Ich werde die Bemühungen des BND bei der Bereinigung 
seiner Altdaten- und Altaktenbestände im Auge behalten 
und mich nach angemessener Zeit vom Fortgang der Berei- 
nigungsarbeiten überzeugen. Auch bei Würdigung der be- 
stehenden personellen Engpässe sollte der BND verstärkte 
Anstrengungen vornehmen, diesen datenschutzrechtlich un- 
haltbaren Zustand so schnell wie möglich zu beseitigen. 

20.3.2 MAD 

Bei der Kontrolle einer MAD-St eile (s. Nr. 18.3) habe ich 
auch die dort vorliegenden Aufträge im Bereich der SÜ 
überprüft. 

Für die Einleitung der SÜ ist der jeweilige Sicherheitsbeauf- 
tragte der Dienststelle des Betroffenen zuständig. Dieser 
sendet die Sicherheitserklärung an die jeweils zuständige 
MAD-Stelle, von der sie auf Bearbeitungsreife vor geprüft 
wird. Eine inhaltliche Prüfung der Angaben des Betroffenen 
findet hier nicht statt. Die bearbeitungsreifen Sicherheits- 
erklärungen werden anschließend dem MAD-Amt zugelei- 
tet. Dort erfolgen die inhaltliche Prüfung sowie die routine- 
mäßigen Anfragen nach § 12 Abs. 1 u. 2 SÜG. Die weitere 
Bearbeitung - z. B. Befragung des Betroffenen und von Re- 
ferenz- und Auskunftspersonen - erfolgt im Auftrag des 
MAD-Amtes durch die MAD-Stelle, je nachdem welchem 
Bereich die zu befragende Pe rson örtlich zuzuordnen ist. 
Bei den MAD-Stellen besteht somit kein kompletter Über- 
blick über die Person eines Betr offenen. Es erfolgt jeweils 
nur eine punktuelle Bearbeitung. Zur Bearbeitung der Auf- 
träge des MAD-Amtes werden T eile der beim MAD-Amt 
geführten Sicherheitsüberprüfungsakte - ggf. in Ablich- 
tung - übersandt. Die Übersendung von Akten beschränkt 
sich hierbei auf die T eile, die für die Erledigung des Auf- 
trags erforderlich sind. Nach Erledigung des Auftrags wird 
der Vorgang ggf. mit einer Bewertung der gewonnenen Er- 
kenntnisse an das MAD-Amt zurückgesandt. Sämtliche Ar- 
beitsergebnisse fließen beim MAD-Amt zusammen, das 
auch die abschließende Bewertung vomimmt; dort werden 
auch die nach dem SÜG zulässigen Daten gespeichert und 
die Akten aufbewahrt. 

Bei der Kontrolle eines T eils der vorliegenden Aufträge 
habe ich keine datenschutzrechtlich bedeutsamen V erstöße 


festgestellt. Kleinere Mängel konnten nach Gesprächen mit 
den zuständigen Bearbeitern bzw. nach entsprechenden Hin- 
weisen in meinem Prüfbericht bereinigt werden. 

20.3.3 Bundesamt für Verfassungsschutz 

Anlässlich einer früheren Kontrolle beim BfV im Jahre 1986 
- also lange vor In-Kraft-T reten des SÜG im Jahre 1994 — 
hatte ich zahlreiche Verstöße gegen die damals geltenden Vor- 
schriften festgestellt und na ch dem damaligen § 20 BDSG 
förmlich beanstandet. Die jetz ige Kontrolle hat gezeigt, dass 
durch das SÜG, das die SÜ er stmalig auf eine normenklare 
gesetzliche Grundlage gestellt hat, Rechtsklarheit und Rechts- 
sicherheit eingetreten sind. Verstöße gegen das SÜG habe ich 
nur noch in wenigen Fällen festgestellt. Diese Mängel wurden 
nach meiner Kontrolle ausnahmslos bereinigt bzw. sollen, so- 
weit ein gewisser Verwaltungsaufwand erforderlich ist, in ei- 
nem angemessenen Zeitrahmen bereinigt werden. 

Eine Auswertung der statistischen Unterlagen zeigt fol- 
gende Entwicklung: 


Das BfV hat 

in den Jahren 

1995 

rd. 28 000 

1998 

rd. 19 000 

1999 

rd. 22 000 und 

2000 

rd. 22 000 


SÜ als mitwirkende Behörde durchgeführt. Diese Übersicht 
zeigt, dass sich die Anzahl der SÜ nach In-Kraft-T reten des 
SÜG deutlich verringert hat. Seit 1999 liegt sie auf gleichem 
Niveau. Eine deutliche Zunahme ist allerdings nach Einfüh- 
rung des personellen Sabotageschutzes (s. o. Nr. 20.1) zu er- 
warten. 

Ein wesentliches Er gebnis der Kontrolle war die Feststel- 
lung, dass die zuständigen Behörden ihrer Mitteilungs- 
pflicht über die Nichtaufnahme einer sicherheitsempfmdli- 
chen Tätigkeit oder deren Beendigung nach einem 
negativen Votum des BfV nicht nachgekommen sind. Diese 
Feststellung beruht auf der Prüfung der Fälle, in denen das 
BfV zu dem Ergebnis gekommen war, es liege ein Sicher- 
heitsrisiko vor, und der zuständigen Behörde gegenüber 
nach § 14 Abs. 2 SÜG ein negatives V otum abgegeben 
hatte. Eine Nachprüfung durch das BfV , ob die zuständige 
Behörde dem Votum gefolgt ist oder eine abweichende Auf- 
fassung vertreten hat, fand in keinem Fall statt. 

Ich habe hierzu die Auffassung vertreten, dass ein negatives 
Votum des BfV in jedem Fall eine Rückkoppelung des Ge- 
heimschutzbeauftragten der zuständigen Behörde mit dem 
BfV zur Folge haben muss. Nach § 22 Abs. 2 Nr . 2c SÜG 
hat das BfV die in Dateien gespeicherten sicherheitserhebli- 
chen Erkenntnisse und Erkenntnisse, die ein Sicherheitsri- 
siko begründen (gern. § 20 Abs. 2 Nr. 3 SÜG), unverzüglich 
zu löschen, sobald feststeht, dass der Betrof fene die sicher- 
heitsempfindliche Tätigkeit nicht aufnimmt oder sie nicht 
mehr ausübt. Dieser V erpflichtung kann das BfV aber nur 
nachkommen, wenn der Geheimschutzbeauftragte aus der 
zuständigen Behörde dem BfV eine entsprechende Mittei- 
lung macht. 

Das BMI hat meiner Auffassung zugestimmt und diese Pro- 
blematik bei der Dritten N ovellierung der Ausführungsvor- 
schriften zum SÜG aufgegrif fen. ln den Ausführungen zu 
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§ 18 Abs. 5 SÜG ist nunmehr ei ndeutig geregelt, dass das 
BfV unverzüglich über das Ausscheiden oder die Nicht- 
aufnahme der sicherheitsempfindlichen Tätigkeit zu unter- 
richten ist, wenn sicherheitserhebliche Erkenntnisse oder Er- 
kenntnisse, die ein Sicherheitsrisiko begründen, vorhegen. 

Neben dieser in die Zukunft gerichteten verfahrensmäßigen 
Verbesserung habe ich jedoch auch eine datenmäßige Berei- 
nigung für die Vergangenheit gefordert. Das BMI hat zuge- 
sagt, eine Überprüfung all dies er Fälle durch das BfV vor- 
nehmen zu lassen. Diese Arbeiten sollten, da sie mit einem 
gewissen Verwaltungsaufwand verbunden sind, bis Ende 
des Jahres 2002 abgeschlossen sein. Ob dies der Fall ist, 
stand bei Redaktionsschluss nicht fest. 

Die in wenigen Einzelfällen von mir festgestellten Mängel 
wurden nach meinen entsprechenden Hinweisen beseitigt. 
Hier handelte es sich im Wesentlichen um unterbliebene Lö- 
schungen einzelner Daten in Dateien, die inzwischen nach- 
geholt wurden. 

Insgesamt wurde bei dieser Kontrolle deutlich, dass der 
Umgang mit personenbezogenen Daten bei den SÜ ein er- 
freulich hohes datenschutzrecht liches Niveau erreicht hat, 
das nicht zuletzt auf die klaren Regelungen des 1994 in 
Kraft getretenen SÜG zurückzuführen ist. 

20.3.4 Auswärtiges Amt 

Das AA hält eine SÜ bezüglich aller Bediensteter für erfor- 
derlich, die der so genannnten Rotation unterliegen. Dies er- 
gebe sich aus der besonderen Aufgabenstellung des AA 
nach dem Gesetz über den Auswärtigen Dienst, wonach die 
Mitarbeiter des AA zu jeder Zeit an allen Dienstorten ein- 
satzfähig sein müssten. An de n Auslandsvertretungen seien 
von den entsandten Dienstkräften Querschnittsfunktionen 
für die gesamte Bundesregierung wahrzunehmen, die auch 
einen Zugang zu Verschlusssachen beinhalteten. 

Da die SÜ einen erheblichen Eingriff in das Persönlichkeits- 
recht darstellt, muss hier eine sor gfältige Interessenabwä- 
gung zwischen dem Geheimhaltungsinteresse des Staates 
und dem Persönlichkeitsrecht der Bediensteten vorgenom- 
men werden. Ich habe mich na ch ausführlichen Diskussio- 
nen der Argumentation des AA nicht verschließen können 
und gegen diese Praxis, die eine im V ergleich zu anderen 
Geschäftsbereichen außerordentlich hohe Anzahl von SÜ 
mit sich bringt, letztlich keine Bedenken erhoben. 

Zu begrüßen ist in diesem Zusammenhang, dass das AA die 
Sicherheitsbereiche seiner Zentrale neu geordnet hat. Durch 
diese Neuordnung, die auch mit einer Rationalisierung des 
Verfahrens der SÜ einherging, wird künftig die Zahl der SÜ 
für das Personal, das nicht der Rotation unterliegt, reduziert. 
Dies ist ein datenschutzrechtlich erfreulicher Fortschritt. 

Bei meiner Kontrolle habe ich schwerwiegende daten- 
schutzrechtliche Verstöße nicht festgestellt. Gegen einige 
Handlungsweisen des AA habe ich jedoch datenschutz- 
rechtliche Bedenken erhoben: 

— ln einem Einzelfall hatte sich ein abgelehnter Bewerber 
darüber beklagt, dass er zu der Ablehnung nicht gehört 
worden sei. Wie sich heraus stellte, war der Bewerber je- 
doch tatsächlich über die Gründe, die zu der Ablehnung 
geführt hatten, unterrichtet worden. 


Ob allerdings in der Vergangenheit in Fällen abgelehnter 
Bewerber immer eine Anhörung nach § 6 Abs. 1 SÜG 
durchgeführt worden war, konnte zwar bei der Kontrolle 
nicht festgestellt werden. Das AA konnte aber auch nicht 
mit Sicherheit bestätigen, dass in allen Fällen die Anhö- 
rung tatsächlich durchgeführt worden ist. 

Ich habe deutlich gemacht, dass die Anhörungspflicht 
nach § 6 SÜG in jedem Einzelfall auch bei abgelehnten 
Bewerbern zu beachten ist. Für einen aufgrund eines ne- 
gativen Votums abgelehnten Bewerber hat die Entschei- 
dung des Geheimschutzbeauftragten besonders ein- 
schneidende Folgen. Ihm muss daher Gelegenheit 
gegeben werden, sich zu den Gründen, die zur Ableh- 
nung geführt haben, zu äußern und diese ggf. zu entkräf- 
ten. 

Das AA hat zugesagt, die Anhörung nach § 6 SÜG künf- 
tig in jedem Falle sicherzustellen. 

- Bei der regelmäßig alle fünf Jahre vorzunehmenden Ak- 
tualisierung nach § 17 Abs. 1 SÜG holt das AA jeweils 
eine Auskunft aus dem Bundeszentralregister (BZR) ein. 
Die Einholung einer BZR- Auskunft gehört jedoch zu 
den Maßnahmen, die die mi twirkende Behörde nach 
§ 12 SÜG trifft; sie steht dem Geheimschutzbeauftragten 
nicht zu. 

Das AA hat bestätigt, dass das bisherige V erfahren nicht 
der Rechtslage entspricht und hat diese Praxis inzwi- 
schen eingestellt. 

- Die Sicherheitsakten enthielten z. T. Unterlagen, die 
nicht die SÜ betrafen bzw. für die sicherheitsmäßige Be- 
wertung nicht erheblich waren. Zu diesen Unterlagen ge- 
hörten z. B.: 

- Personalbögen im Zusa mmenhang mit der Bewer- 
bung; 

— Übersichten über Bewerber für ein Auswahlverfah- 
ren; 

- Vermerk über den Antrag zur Anerkennung als 
Kriegsdienstverweigerer; 

- Vermerke über Erkrankungen und einen Kranken- 
hausaufenthalt; 

- Auszüge/ Ablichtungen aus Beurteilungen; 

— Altersteilzeitvereinbarung; 

— Disziplinarurteil, das nach der Bundesdisziplinarord- 
nung bereits nicht mehr Bestandteil der Personalakte 
sein durfte. 

Das AA hatte bereits vor meiner Kontrolle damit begonnen, 
alle Sicherheitsakten zu überprüfen und alle Unterlagen 
ohne sicherheitserhebliche Relevanz aus den Akten zu ent- 
fernen. Der hierzu vom AA aufgestellte Maßnahmenkatalog 
wurde im Hinblick auf die festgestellten Mängel er gänzt; 
die bereits überprüften Akten werden anlässlich einer gele- 
gentlichen Bearbeitung einer erneuten Überprüfung unter- 
zogen. 

20.3.5 Privatwirtschaft 

ln früheren Tätigkeitsberichten (s. 16. TB Nr . 17.4; 17. TB 
Nr. 17 und 18. TB Nr. 17.1) habe ich festgestellt, dass es bei 
den SÜ in Unternehmen der Privatwirtschaft keine größeren 
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datenschutzrechtlichen Mängel gegeben hat. Dieser daten- 
schutzrechtlich beachtliche Standard hat sich auch bei mei- 
nen Kontrollen im Berichtszeitraum bestätigt. Kontrolliert 
habe ich ein größeres Unternehmen in der Schifffahrtsindus- 
trie, bei dem eine relativ hohe Anzahl sicherheitsüberprüfter 
Mitarbeiter beschäftigt ist, und ein kleines mittelständisches 
Unternehmen im Dienstleistungsbereich. Insgesamt haben 
diese Prüfungen ergeben, dass die Verarbeitung personenbe- 
zogener Daten auch bei diesen Unternehmen einen erfreuli- 
chen Sicherheitsstandard aufwies. Kleinere Mängel konnten 
an Ort und Stehe nach entsprechenden Beratungen und Hin- 
weisen bereinigt werden. 

Erfreulich war auch festzustellen, dass die Geheimschutzbe- 
vollmächtigten, die in den Unternehmen die Aufgaben nach 
dem SÜG wahmehmen, dem Datenschutz gegenüber sehr 
aufgeschlossen sind und of fenkundig strikt auf die Einhal- 
tung der V orschriften des SÜG und anderer datenschutz- 
rechtlicher Bestimmungen achten. 

20.4 Ehegatten und Lebenspartner dürfen der 
Speicherung ihrer Daten in Dateien 
widersprechen 

Nach § 20 Abs. 2 des Sich erheitsüberprüfüngsgesetzes 
(SÜG ) darf die mitwirkende Behörde auch Daten des in die 
Sicherheitsüberprüfung einbezogenen Ehegatten oder Le- 
benspartners in Dateien speichern. Das Bundesverwal- 
tungsgericht hat hierzu in seinem Beschluss vom 2. April 
1996 - BVerwG 1 WB 71.95 - festgestellt, dass die nach 
§ 20 SÜG zulässige Speicherung von Daten der in die 
Sicherheitsüberprüfung einbezogenen Ehefrau weder ge- 
setzlich zwingend vorgeschrieben noch unerlässlich ist. Das 
Gericht hat das BMVg zur Fortsetzung der Sicherheitsüber- 
prüfüng des Soldaten verurteilt, die zuvor wegen der Weige- 
rung seiner Ehefrau, ihre Daten in Dateien des MAD spei- 
chern zu lassen, abgebrochen worden war. Über diesen Fall 
habe ich in meinem 16. TB (Nr. 17.1) berichtet. 

Das BMI hat daraufhin die Allgemeine Verwaltungsvor- 
schrift (AVV) zu § 5 Abs. 1 SÜG dahin gehend ergänzt, dass 
eine Sicherheitsüberprüfung wegen fehlender Überprüfbar- 
keit dann nicht durchgeführt werden kann, wenn der Ehe- 
gatte oder Lebenspartner zwar der Einbeziehung in die Si- 
cherheitsüberprüfüng zustimmt, aber einer Speicherung von 
Daten zu seiner Person in Dateien widerspricht. Das BMI 
hat damit den vor genannten Beschluss des Bundesverwal- 
tungsgerichts in sein Gegent eil verkehrt. Im Rahmen der 
Anhörung zur Änderung der AVV habe ich zwar auf diesen 
Widerspruch hingewiesen; die AVV wurde dennoch in Kraft 
gesetzt. 

Im Jahre 2001 wandte sich eine Petentin an mich. Sie hatte 
zwar zunächst unter Hinweis auf den Beschluss des Bundes- 
verwaltungsgerichts der Speicherung ihrer Daten in Dateien 
widersprochen. Nachdem ihr von der zuständigen Stelle je- 
doch mitgeteilt worden war , dass die Sicherheitsüberprü- 
füng ihres Ehemannes ohne ihre Einwilligung in die elektro- 
nische Speicherung ihrer Daten nicht durchgeführt werden 
könne, habe sie — gezwungenermaßen - der elektronischen 
Speicherung ihrer Daten in Dateien zugestimmt, um die Be- 
schäftigung ihres Ehemannes ni cht zu gefährden, ln ihrer 
Eingabe hat sie um Klärung der Angelegenheit gebeten. 

Das BfV, das ich als die mitwirkende Behörde um Stellung- 
nahme gebeten hatte, vertrat die Auf fassung, es könne die 


bereits eingeleitete Sicherheitsüberprüfung des Ehemannes 
unter Berufung auf die A VV des BMI zu § 5 Abs. 1 SÜG 
nicht weiterführen, wenn die Petentin ihre Zustimmung zur 
Speicherung ihrer Daten in Dateien des BfV widerrufen 
würde. 

Daraufhin habe ich gegenüber dem BMI die Auf fassung 
vertreten, dass sowohl die der Maßnahme zugrunde lie- 
gende Regelung in der AVV des BMI als auch der Abbruch 
der o. g. Sicherheitsüberprüfüng des Ehemanns der Petentin 
mit dem Beschluss des Bunde sverwaltungsgerichts nicht 
vereinbar seien. Das BMI hat schließlich meiner Auffassung 
zugestimmt und die A VV erneut geändert. Die Änderung 
stellt nunmehr klar, dass eine Sicherheitsüberprüfüng bei ei- 
nem bloßen W iderspruch des Ehegatten oder Lebenspart- 
ners gegen eine Speicherung von Daten zu seiner Person in 
Dateien durchgeführt werden muss. Damit ist das BMI letzt- 
lich dem Beschluss des Gerichts gefolgt. 

Die bereits gespeicherten Daten der Petentin in Dateien des 
BfV wurden inzwischen gelöscht. 

21 Mitarbeiterdatenschutz 

21.1 Arbeitnehmerdatenschutzgesetz 

dringender denn je! 

Wiederholt habe ich in meinen Tätigkeitsberichten darauf 
hingewiesen, dass die Schaffung eines bereichsspezifischen 
Arbeitnehmerdatenschutzgesetzes dringlicher denn je ist 
(zuletzt in meinem 18. TB Nr. 18.1). 

Mehrfach hat die Bundesregierung angekündigt, dass sie 
unter Einbeziehung von W issenschaft und Praxis einen Ge- 
setzentwurf zu einem Arbeitnehmerdatenschutzgesetz vor- 
legen will. Ich begrüße deshalb, dass der Deutsche Bundes- 
tag von der Bundesregierung erwartet, den Gesetzentwurf 
so rechtzeitig in das parlamentarische V erfahren einzubrin- 
gen, dass er bis zur Mitte der 15. Legislaturperiode beraten 
und beschlossen werden kann. Zu begrüßen ist auch, dass in 
der Koalitionsvereinbarung verabredet ist, „den Schutz der 
Daten der Arbeitnehmerinnen und Arbeitnehmer erstmals in 
einem eigenen Gesetz zu verankern“. 

Nach meiner Auffassung sollten in diesem Gesetz folgende 
Grundsätze berücksichtigt werden, die sich im Datenschutz- 
recht bereits bewährt haben: 

- Nach dem Prinzip der Datensparsamkeit dürfen perso- 
nenbezogene Daten des Arbeitnehmers nur erhoben, ver- 
arbeitet und genutzt werden, wenn dies zur Begründung, 
Durchführung, Beendigung oder Abwicklung eines Ar- 
beitsverhältnisses erforderlich oder sonst gesetzlich vor- 
geschrieben ist. 

- Die Datenerhebung sollte grundsätzlich beim Arbeitneh- 
mer selbst erfolgen; Ausnahmen sind gesetzlich zu re- 
geln. 

- Regelungen über die Einwilligung eines Arbeitnehmers 
oder eines Bewerbers in ei ne Datenerhebung müssen 
Klarheit darüber schaffen, dass diese nur dann als Grund- 
lage einer Datenerhebung, -Verarbeitung oder -nutzung in- 
frage kommen können, wenn ihre Freiwilligkeit sicher- 
gestellt ist. Die Einwilligung muss demgemäß ohne 
Furcht vor Nachteilen auch verweigert werden k önnen. 
Desgleichen dürfen allein au fgrund einer Einwilligung 
beispielsweise keine Gesu ndheitszeugnisse, Ergebnisse 
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von Genomanalysen oder ähnl iche Unterlagen verlangt 
werden, wenn sie den Rahmen des Befragungsrechts des 
Arbeitgebers überschreiten. 

- Die strikte Zweckbindung der erhobenen Daten muss ge- 
setzlich verankert werden. Personenbezogene Arbeitneh- 
merdaten dürfen nur für den Zweck, für den sie erhoben 
worden sind, verwendet werden. Daten, die für diesen 
Zweck nicht mehr erforderlich sind, sind zu löschen. 

- Die Schaffung von Persönlichkeitsprofilen der Arbeit- 
nehmer muss grundsätzlich verboten sein. 

- Aus Gründen der Transparenz sind Arbeitnehmer umfas- 
send darüber zu informieren, welche Daten zu welcher 
Zeit, auf welche Weise und zu welchem Zweck über sie 
erhoben sowie in welcher Art und W eise ausgewertet 
werden. Dies muss umfassende Auskunfts- und Ein- 
sichtsrechte des Arbeitnehmers einschließen. 

- Die Mitbestimmungsrechte von Betriebs- und Personal- 
räten bei der Einführung, Anwendung und bei wesent- 
lichen Änderungen automatisierter Dateien mit personen- 
bezogenen Daten für Zwecke der Personalverwaltung 
müssen gestärkt werden. 

Das Gesetz muss auch Regelungen zur Nutzung von E-Mail 
und Internetdiensten am Ar beitsplatz enthalten (s. o. 
Nr. 11.16). 

21.2 Personalakten: Es besteht immer noch 
Handlungsbedarf 

21.2.1 Personalaktenführung, Personalakten- 
richtlinien 

Durch das Neunte Gesetz zur Änderung dienstrechtlicher 
Vorschriften vom 1 1. Juni 1992 sind mit W irkung vom 1. 
Januar 1993 Regelungen für die Personalakten geschaf fen 
worden. Bei Kontrollen und Beratungsbesuchen musste ich 
jedoch immer wieder feststellen, dass bei vielen Behörden 
den Regelungen der §§ 90 f f. Bundesbeamtengesetz nicht 
im vollem Umfange Rechnung getragen wird. Zur Perso- 
nalaktenführung habe ich mich in meinen Tätigkeitsberich- 
ten mehrfach geäußert (s. 18. TB Nr. 18.3). Mit Schreiben 
vom 23. November 2001 habe ich daher das Bundesminis- 
terium des Innern (BMI) hieraufhingewiesen und gebeten, 
zur Verbesserung der Personalaktenführung eine „Muster - 
Personalaktenrichtlinie“ für die Bundesverwaltung zu erar- 
beiten. 

Das BMI hat dazu mit Schreiben vom 30. Januar 2002 mit- 
geteilt, dass es angesichts der detaillierten und erschöpfen- 
den Regelungen des Personalaktenrechts im Bundesbeam- 
tengesetz meiner Forderung nicht entsprechen kann. 

Dies bedauere ich. Allerdings begrüße ich es, dass das BMI 
mit Rundschreiben vom 30. Januar 2002 (s. Anlage 27) die 
Obersten Bundesbehörden auf die in meinen letzten Tätig- 
keitsberichten angeführten Vollzugsdefizite im Bereich des 
Personalaktenrechts hingewiesen hat. Das BMI hat in die- 
sem Rundschreiben mehrere wiederholt verletzte Regeln 
der Personalaktenführung sowie insbesondere auch die Be- 
reinigung von Personalakten und die unterschiedlichen Auf- 
bewahrungsfristen angesprochen. 

Bei künftigen Beratungs- und Kontrollbesuchen werde ich 
mein besonderes Augenmerk auf die Führung der Personal- 


akten, insbesondere auch auf die Behandlung der so genann- 
ten „Vorakten“, legen. 

21.2.2 Dürfen behördliche Datenschutz- 
beauftragte und Gleichstellungs- 
beauftragte Personalakten einsehen? 

Im Berichtszeitraum bin ich mehrfach darauf angesprochen 
worden, ob behördliche Datenschutzbeauftragte und Gleich- 
stellungsbeauftragte ein Recht auf Einsicht in Personalakten 
haben. 

Nach In-Kraft-Treten des Änderungsgesetzes zum BDSG 
am 23. Mai 2001 sind durch § 4f BDSG behördliche Daten- 
schutzbeauftragte bei Bundesbehörden nunmehr zwingend 
vorgeschrieben (s. o. Nr. 3.2.5). Nach § 4g BDSG hat der 
behördliche Datenschutzbeauftragte auf die Einhaltung des 
BDSG und anderer Vorschriften über den Datenschutz hin- 
zuwirken; zu diesen Vorschriften gehören auch die §§90 bis 
90g Bundesbeamtengesetz, in denen der Umgang mit Perso- 
nalakten geregelt ist. Aufgrund der neuen Rechtslage hat der 
behördliche Datenschutzbeauftragte nunmehr ein Recht auf 
Einsicht in Personalakten; dies erstreckt sich auch auf die 
Einsichtnahme in Personaldateien, in denen Personalakten- 
daten gespeichert sind. 

Um den Interessen der Beschäftigten gerecht zu werden, 
sollte der behördliche Datenschutzbeauftragte von der Ein- 
sichtnahme absehen, wenn der Beschäftigte ihm gegenüber 
der Einsichtnahme widersprochen hat; dies entspricht mei- 
ner Praxis bei der Kontrolle von Personalakten. 

Die Gleichstellungsbeauftragte gehört nach § 18 Abs. 1 des 
Gleichstellungsgesetzes der Personalverwaltung an. Im 
Rahmen dieser Aufgabe hat die Gleichstellungsbeauftragte 
ein Recht auf Einsicht in die Personalakten, soweit dies zur 
Wahrnehmung ihrer Aufgaben erforderlich ist; auf die Be- 
gründung zu dem Entwurf des Gleichstellungsgesetzes 
(Bundestagsdrucksache 14/5679) wird hingewiesen. 

21.2.3 Feststellungen aus Datenschutz- 
kontrollen 

21.2.3.1 Diagnosedaten zur Vorbereitung 
von Mitarbeitergesprächen 
bei der Deutschen Post AG 

Durch mehrere Eingaben bin ich darauf aufmerksam gewor- 
den, dass die Deutsche Post AG über erkrankte Mitarbeiter 
Diagnosedaten zur V orbereitung von Personalmaßnahmen 
erhebt, verarbeitet und nutzt. Bei der datenschutzrechtlichen 
Kontrolle einer Niederlassung habe ich in diesem Zusam- 
menhang folgendes feststellen müssen: 

Bei der Niederlassung wurden „fürsor gliche Mitarbeiterge- 
spräche“ mit erkrankten Mitarbeitern (hauptsächlich Postzu- 
stellern) durch Fachvor gesetzte geführt. Zur V orbereitung 
dieser Gespräche wurden erkrankte Mitarbeiter von der 
Fachabteilung der Niederlassung teilweise zu Hause angeru- 
fen und zu ihrer Erkrankung befragt. Manche Mitarbeiter 
wurden auch bedrängt, die sie behandelnden Ärzte von der 
ärztlichen Schweigepflicht zu entbinden, um „sich unmittel- 
bar mit dem Arzt über die gesundheitlichen Probleme zu 
unterhalten“. Die so zusammengetragenen Diagnosedaten 
wurden schriftlich festgehalten, ln den vor gefundenen Un- 
terlagen fanden sich u. a. folgende V ermerke, die Aussagen 
zur gesundheitlichen Situation enthielten: „Krankenhaus: 
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u. a. Nierensteine, Rückenprob lerne“, , Atemnot, Aller gie, 
Arzt anrufen“, „Rehaklinik Schwarzwald, T elefonnummer 
Operation vor fünf Wochen“, „Kalkablagerungen, sieben 
Schleimbeutel, Entzündung Schultergelenk“, „hat Herzklap- 
penfehler“, „gerüchteweise: strebt Dienstunfähigkeit an“. 

Anhand der Aufzeichnungen wu rde entschieden, welcher 
Mitarbeiter zu einem Mitarbeitergespräch eingeladen werden 
sollte. Zur weiteren V orbereitung eines solchen Mitarbeiter- 
gespräches hat die Fachabte ilung dann die entsprechenden 
Personalakten hinzugezogen und auszugsweise für das zu 
führende Gespräch fotokopiert, ln den Unterlagen der Fach- 
abteilung fanden sich u. a. Kopien eines vollständigen ärzt- 
lichen Gutachtens des zuständigen Betriebsarztes mit medi- 
zinischen Befunden und Diagnosedaten sowie die Meldung 
eines Arbeits- oder Dienstunfalles an die Unfallkasse Post 
und Telekom mit sensiblen personenbezogenen Daten, wie 
z. B. die Art der Verletzung eines Mitarbeiters. Darüber hin- 
aus fanden sich im Büro der Fachabteilung auch Ordner mit 
entsprechenden Unterlagen aus Vorjahren. 

Nach einem auf der beschriebenen Basis durchgeführten 
Mitarbeitergespräch wurde dessen Inhalt in einem V ermerk 
festgehalten und zur Personalakte verfügt. Die V ermerke 
wurden als Zweitschrift auch in der Fachabteilung der Nie- 
derlassung verwählt und enthielten ebenfalls Angaben über 
Erkrankungen, (z. B. „Nervenentzündung“, „Knorpelschaden 
an den Knien“, „Thrombose linkes Bein“). T eilweise wur- 
den sie auch per E-Mail über ei nen großen Verteiler (wie z. 
B. an weitere Fachabteilungen bis zur dortigen Sachbearbei- 
terebene, an Fachvorgesetzte in den Zustellstützpunkten der 
Postzusteller sowie an den Betriebsrat) versandt und von 
den jeweiligen Empfängern ebenfalls wieder per E-Mail an 
weitere Personen verschickt , sodass - unabhängig von der 
rechtlichen Zulässigkeit - im Nachhinein nicht mehr nach- 
zuvollziehen war, wer über die Vermerke mit solch sensib- 
len Personalaktendaten verfügt bzw. davon Kenntnis erhal- 
ten hat. 

Diese Erhebung von Krankheitsdaten habe ich hinsichtlich 
der Beamten als unzulässig gemäß § 90 Abs. 3 und 4 Bun- 
desbeamtengesetz (BBG) bewertet; hinsichtlich der anderen 
Arbeitnehmer verstößt sie gegen den Grundsatz von T reu 
und Glauben (§ 12 Abs. 4, § 28 Abs. 1 Satz 1 Nr .1 und 
Satz 2 BDSG). Die Abfrage von Krankheitsdaten beim Be- 
troffenen selbst steht mit de m Fragerecht des Arbeitgebers 
nicht in Einklang. Dies muss erst recht für die Datenerhe- 
bung bei Dritten (Ärzten, Klin iken etc.) gelten. Zur Erhe- 
bung von Diagnosedaten durch Arbeitgeber habe ich mich 
bereits in meinem 15. TB (Nr. 9.3.2) geäußert. 

Der Zugang zu den Personalakten durch die \brgesetzten ei- 
ner Fachabteilung stellt auch einen Verstoß gegen § 90 Abs. 
3 BBG dar, der den Zugang zur Personalakte nur für Be- 
schäftigte zulässt, die im Rahmen der Personalverwaltung 
mit der Bearbeitung von Personalangelegenheiten beauf- 
tragt sind und nur soweit dies zu Zwecken der Personalver- 
waltung oder der Personalwirtschaft erforderlich ist. Die 
von den Mitarbeitern erbetene Schweigepflichtentbindungs- 
erklärung für die sie behandelnden Ärzte verstößt gegen die 
Vorgaben des § 90 Abs. 4 i. V . m. §§ 46a, 42 Abs. 1 Satz 3 
BBG hinsichtlich der Beamten und gegen die §§13 Abs. 1, 
12 Abs. 4 i. V. m. § 28 Abs. 1 Satz 2 BDSG hinsichtlich der 
weiteren Arbeitnehmer. Die Versendung der Vermerke über 
die geführten Mitarbeiter gespräche per E-Mail an Unbe- 


fugte habe ich als eine V erletzung des Personalakten- 
geheimnisses (§ 90 Abs. 1 Satz 3, Abs. 3 BBG) bewertet 
und die zahlreichen Verstöße insgesamt gemäß § 25 Abs. 1 
BDSG beanstandet. 

Nach einem anschließenden Schriftwechsel sowie zahlrei- 
chen, ergänzenden mündlichen Erörterungen hat die Deut- 
sche Post AG nunmehr mitget eilt, dass die vor genannten 
Mängel abgestellt worden sind und die Befugnisse von 
Fachabteilungsleitem hinsichtlich der W ahmehmung von 
Aufgaben der Personalverwaltung klar geregelt werden. Ein 
erfreulicher Abschluss nach langen Mühen. 

21.2.3.2 Wehrbereichsverwaltung: Gesetzliche 
Vorgaben zur Personalaktenführung 
ignoriert 

Meine Kontrollen im vorherigen Berichtszeitraum haben 
mich veranlasst, bei weiteren großen Behörden der Bundes- 
verwaltung die Führung von Personalakten zu überprüfen. 
Das BMVg hat die mit dem Neunten Gesetz zur Änderung 
dienstrechtlicher Vorschriften zum 1. Januar 1993 in Kraft 
getretenen umfassenden Neuregelungen zur Form und zum 
Inhalt von Personalakten für seinen Zuständigkeitsbereich 
bereits im Dezember 1993 in eine Personalaktenrichtlinie 
umgesetzt. 

Das Beispiel einer von mir kontrollierten W ehrbereichs- 
verwaltung zeigt, dass auch hier die Umsetzung der gesetz- 
lichen Regelungen des Bundesbeamtengesetzes (§§ 90 f f. 
BBG) offenbar große Schwierigke iten bereitet (vgl. auch 
Nr. 21.2.1). Bemerkenswert war allerdings, dass die Umstel- 
lung der Personalakten der Arbeitnehmer und Angestellten 
in der Wehrbereichsverwaltung durch die jeweiligen Perso- 
nalsachbearbeiter bereits erfolgt war. Für die Personalakten- 
führung der Tarifkräfte hat das BMVg in der o. a. Personal- 
aktenrichtlinie die §§ 90 f f. BBG für entsprechend 
anwendbar erklärt. Im Einzelne n festgestellte Mängel, wie 
z. B. in der Personalakte abgelegte z. T. sehr alte Auskünfte 
aus dem Bundeszentralregister, wurden noch vor Ort aus der 
Personalakte entfernt und deren Beseitigung auch aus ande- 
ren Personalakten zugesagt. 

Die Führung der Personalakten der Beamten entsprach da- 
gegen in keinem der geprüften Fälle den gesetzlichen V or- 
gaben bzw. der Personalaktenrichtlinie des BMVg. Meine 
Feststellungen gleichen weitgehend den ausführlichen Dar- 
stellungen in meinem letzten Tätigkeitsbericht (s. 18. TB 
Nr. 18.3). Zum Beispiel: 

- Unvollständige Inhaltsverzeichnisse (§ 90 Abs. 2 Satz 4 
BBG), 

- Personalaktendaten mehrerer Mitarbeiter in einer Perso- 
nalakte (§ 90 Abs. 1 Satz 1, 2. Halbsatz BBG), 

- Ablage von allgemeinem Schriftverkehr (§ 90 Abs. 1 
Satz 2, 2. Halbsatz BBG). 

Auch die Führung der eingesehenen T eilakten hatte erheb- 
liche Mängel. So wurden als so genannte „Vorakten“ Perso- 
nalakten aus früheren V erwendungen bei anderen Dienst- 
stellen des BMVg geführt und die eingesehenen T eilakten 
„Abwesenheit“ enthielten Unterlagen, wie z. B. Arbeits- 
unfähigkeitsbescheinigungen, Urlaubsbewilligungen und 
weitere Unterlagen, die lückenlos alle Abwesenheiten von 
Beginn des Beschäftigungsverhältnisses bis zum Kontroll- 
zeitpunkt belegten. 
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So genannte „Restakten“ oder auch „Ruhestandsakten“ über 
einzelne Beamte enthielten umfangreiche Personalakten- 
daten, wie z. B. arbeitsmedi zinische Bescheinigungen, Ab- 
wesenheitsunterlagen, Schriftverkehr über Reaktivierungs- 
wünsche, Schriftwechsel m it dem Petitionsausschuss des 
Deutschen Bundestages sowie weitere Kopien aus der Per- 
sonalgrundakte. Nach den Vorgaben des BMVg werden die 
Personalakten von Ruhestandsbeamten mit der V ersetzung 
in den Ruhestand an die für die V ersorgung zuständige 
Wehrbereichsverwaltung abgegeben. Ich halte es für grund- 
sätzlich ausreichend, wenn die Dienststelle, bei der die Per- 
sonalakte zuletzt geführt wurde, lediglich noch das Schrei- 
ben behält, das die Abgabe der Personalakte dokumentiert. 
Eine Aufbewahrung weiterer Unterlagen ist für die Aufga- 
benerfüllung der ehemaligen Dienststelle nicht mehr erfor- 
derlich und damit unzulässig. 

Die zahlreichen Verstöße gegen die gesetzlichen V orgaben 
der §§ 90 ff. BBG habe ich gemäß § 25 Abs. 1 BDSG bean- 
standet. Das BMVg hat mir eine Beseitigung der festgestell- 
ten Mängel versichert und eine Prüfung der Personalakten- 
richtlinie auf missverständliche Regelungen zugesagt. Ich 
werde zu gegebener Zeit das Er gebnis der Umsetzung er- 
neut überprüfen. 

21.2.3.3 Personalaktenführung in der Bundes- 
anstalt für Arbeit soll jetzt den gesetz- 
lichen Vorgaben angepasst werden 

ln meinem letzten Tätigkeitsbericht (Nr. 18.3) habe ich über 
zahlreiche schwerwiegende Verstöße bei der Personalakten- 
führung in der Hauptstelle der Bundesanstalt für Arbeit (B A) 
berichtet. Nachdem sich die BA in der zurückliegenden Zeit 
nur langsam bereit erklärt hatte, meinen Anregungen u nd 
Forderungen zu folgen, wurde in mehreren Beratungsge- 
sprächen, an denen zuletzt auch das Bundesministerium für 
Wirtschaft und Arbeit als Rechtsaufsicht beteiligt war, nun- 
mehr vereinbart, meine Forderungen in vollem Umfang um- 
zusetzen. Meinen Mitarbeitern wurde auch zugesagt, die 
bisher aufgrund der umfangreichen or ganisatorischen Ver- 
änderungen nicht erfolgte Stellungnahme zu meiner damali- 
gen Beanstandung nunmehr kurzfristig nachzureichen. 

Die BA wird ein Personalentwicklungskonzept erstellen. 
Die damit zusammenhängenden Personalmaßnahmen wer- 
den es erforderlich machen, alle Personalakten in einem 
Zeitraum von fünf Jahren „zu bewegen“, was eine günstige 
Gelegenheit für die geforderte Umstellung darstellt. Dabei 
soll auch ein System entwickelt werden, das einen Über- 
blick über die jeweilige Zahl der umgestellten Personalak- 
ten ermöglicht. Für die Umstellung aller ca. 100 000 Perso- 
nalakten wird nach Darstellung der BA ein Zeitraum von 
etwa fünf Jahren benötigt. 

Ich werde die Umstellung de r Personalakten auf dieser 
Grundlage weiter im Auge behalten und mich anhand der 
dargelegten Konzepte über den weiteren Fortgang unterrich- 
ten lassen. 

21.3 Automatisierte Personaldaten- 
verarbeitung 

21.3.1 Moderne Technik erobert Personalstellen 

Die Tätigkeit in den Personalabteilungen der Bundesbehör- 
den wird zunehmend durch den Einsatz von immer leis- 


tungsfähigerer Informations- und Kommunikationstechno- 
logie geprägt, mit deren Unterstützung Mitarbeiterdaten für 
Zwecke der Personalverwaltung/-wirtschaft automatisiert 
verarbeitet werden. Der T rend, völlig neue Systeme zu ent- 
wickeln oder Alt-Systeme neuer T echnik anzupassen oder 
durch neue Programme zu ersetzen, hat sich im Berichts- 
zeitraum fortgesetzt. 

Neben Kontrollen der automatisierten Personaldatenverar- 
beitung (vgl. hierzu Nr . 21.3.4) habe ich Ministerien und 
Bundesbehörden verstärkt umfassend zu den hierbei zu be- 
achtenden gesetzlichen V orgaben beraten. Durch die mit 
den Bundesbehörden konstruktiv geführten Gespräche ist es 
mir möglich, schon frühzeitig die besonderen datenschutz- 
rechtlichen Anforderungen an solche Systeme in der Ent- 
wicklungs- bzw. Einführungsphase einzubringen. Meine 
Hinweise und Empfehlungen richten sich u. a. auf die Um- 
setzung der gesetzlichen V orgaben der §§ 90 f f. Bundes- 
beamtengesetz (BBG), insbesondere § 90g BBG in der Pra- 
xis, auf Datenumfang, Zugrif fsrechte, Protokollierungen, 
Auswertungsmöglichkeiten, Löschungsregelungen, Aus- 
schluss einer Verhaltens- und Leistungskontrolle, technisch- 
organisatorische Maßnahmen und den Inhalt von Dienstver- 
einbarungen oder -anweisungen hierzu. 

Neben der Beratung zu sonsti gen Verfahren automatisierter 
Verarbeitungen, etwa zur Durchführung der gleitenden Ar- 
beitszeit (vgl. hierzu Nr. 21 .3.3) oder zur Beihilfebearbeitung, 
hegt der Schwerpunkt bei den sehr komplexen Personalinfor- 
mations-/Personalverwaltungssystemen. Insbesondere vor 
dem Hintergrund, dass in der Bundesverwaltung kein ein- 
heitliches System existiert oder entwickelt wird, ist die aus 
datenschutzrechtlicher Sicht zu begrüßende Beratung sehr 
zeitintensiv und erstreckt sich oftmals über mehrere Jahre. 
Beispiele für solche sich in der Entwicklung befindenden 
Systeme sind das Personalverwaltungssystem für die Bun- 
desverwaltung für Verkehr, Bau- und W ohnungswesen so- 
wie das IT -unterstützte Personalmanagementsystem der 
BfA. Die Beratungen zu beiden Systemen, die auf der Basis 
der Standardsoftware SAP R/3HR arbeiten (s. hierzu 18. TB 
Nr. 8.6.4), dauert an. 

Zahlreiche Fragestellungen, die an mich herangetragen wer- 
den, betreffen darüber hinaus auch die V erarbeitung von 
Mitarbeiterdaten im Zusammenhang mit dem Einsatz sons- 
tiger moderner Infonnationstechnologien wie Internet, In- 
tranet, E-Mail, Telearbeit, Kosten- und Leistungsrechnung 
oder Telefondatenverarbeitung. Hierbei ist insbesondere der 
Ausschluss einer unzulässigen V erhaltens- und/oder Leis- 
tungskontrolle der Mitarbeiter von Bedeutung. 

21.3.2 Travel-Management-System verbessert 
Dienstreisewesen 

Im Berichtszeitraum hat das BMI zur Optimierung des 
Dienstreisewesens ein T ravel-Management-System (TMS) 
eingeführt, mit dem der Proz ess der Reiseabwicklung weit- 
gehend elektronisch unterstützt wird. Hierbei werden perso- 
nenbezogene Daten der Beschäftigten, die bei der V orberei- 
tung, Genehmigung, Durchführung und Abrechnung von 
Dienstreisen im TMS entstehen, nicht nur vom BMI und 
den Behörden des Geschäftsbereiches, sondern auch von 
den beteiligten W irtschaftsuntemehmen (etwa Reisebüro, 
Kreditkartenuntemehmen, Fluggesellschaften) als ausge- 
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wählten Vertragspartnern des Auftraggebers BMI erhoben, 
verarbeitet oder genutzt. 

Ich habe es begrüßt, dass mich das BMI im Vorfeld des Ab- 
schlusses einer entsprechenden Dienstvereinbarung mit dem 
Hauptpersonalrat zu den datenschutzrechtlichen Fragen um 
beratende Unterstützung gebeten hat. So habe ich zu dem 
Entwurf der Dienstvereinbarung über die elektronische Er- 
hebung, Verarbeitung und Nutzung von personenbezogenen 
Daten im Rahmen des TMS umfangreiche datenschutz- 
rechtliche Änderungsvorschläge unterbreiten und Empfeh- 
lungen und Hinweise geben können, die berücksichtigt wor- 
den sind. 

Aus datenschutzrechtlicher Sicht galt hierbei ein besonderes 
Augenmerk den Regelungen zur Auftragsdatenverarbei- 
tung (§ 11 BDSG), den Zugrif fsberechtigungen, zulässigen 
Auswertungsmöglichkeiten, vorgesehenen Datenübermitt- 
lungen, den Löschungsregelungen, der umfassenden Unter- 
richtung der Beschäftigten und deren Rechten, dem Aus- 
schluss einer V erhaltens- und Leistungskontrolle der 
Dienstreisenden, aber auch den technisch-organisatorischen 
Maßnahmen (§9 sowie Anlage zu § 9 Satz 1 BDSG). 

Das BMI hat meine Anregungen aufgegriffen und zugesagt, 
die Beschäftigten über alle Module des Systems im Einzel- 
nen vor der Einführung jeweils detailliert zu unterrichten. 

Es bestand Einvernehmen, dass es neben den getrof fenen 
Regelungen der Dienstvereinbarung für eine abschließende 
datenschutzrechtliche Bewertung des TMS später auf die 
Umsetzung der dort vereinbart en datenschutzrechtlichen 
Bestimmungen, insbesondere der technisch-or ganisatori- 
schen Maßnahmen, in der Praxis ankommen wird. Eine sol- 
che Prüfung habe ich mir vorgemerkt. 

21.3.3 Automatisierte Gleitzeitverarbeitung will 
gut organisiert sein 

Auch in diesem Berichtszeitraum haben mich zahlreiche 
Bundesbehörden, Personalvertretungen und die Fraktion der 
SPD im Deutschen Bundestag gebeten, sie bei der Einfüh- 
rung oder Umsetzung der gleitenden Arbeitszeit mittels 
elektronischer Zeiterfassungssysteme, die gern. § 75 Abs. 3 
Nr. 1 7 Bundespersonalvertretungsgesetz der Mitbestim- 
mung unterliegen, beratend zu unterstützen. 

Die Rechtmäßigkeit der Datenerhebung, -Verarbeitung und 
-nutzung von Mitarbeiterdaten im Rahmen eines automati- 
sierten Zeiterfassungssystems bestimmt sich bei den Bun- 
desbehörden nach den Vorschriften des § 12 Abs. 4 sowie 
§ 28 Abs. 1 Nr. 1 BDSG. Ferner sind von ihnen die „Rah- 
mengrundsätze für die gleitende Arbeitszeit in der Bundes- 
verwaltung“ des BMI zu beac hten. Die wichtigsten daten- 
schutzrechtlichen Anforderungen lassen sich wie folgt 
zusammenfassen: 

— Mittels automatisierter Zeiterfassungssysteme dürfen 
nur die Daten aufgezeichnet werden, die für die Abrech- 
nung der Gleitzeit erforderlich sind. 

— Die erfassten Daten dürfen nur den mit der Abrech- 
nung und Kontrolle dieser Aufzeichnungen beauftrag- 
ten Stellen zugänglich sei n. Diese dürfen die Daten zu 
keinem anderen als zum Zweck der Gleitzeitberech- 
nung und -kontrolle verarbeiten, bekannt geben oder 
sonst nutzen. 


- Die aufgezeichneten Daten sind zu löschen, wenn ihre 
Kenntnis für die zulässigen Kontrollzwecke der Dienst- 
stelle nicht mehr erforderlich ist und schutzwürdige Be- 
lange des betroffenen Beschäftigten durch die Löschung 
nicht beeinträchtigt werden. 

- Durch geeignete technische und or ganisatorische Maß- 
nahmen ist eine unbefugte Kenntnisnahme der Zeitdaten 
durch Dritte zu verhindern. 

- Die Mitarbeiter sind umfassend über das V erfahren der 
automatisierten Gleitzeitverarbeitung zu unterrichten, 
der Abschluss einer Dienstvereinbarung ist empfehlens- 
wert. 

Ein wichtiger Beratungsgegenstand war auch die Frage der 
Organisation von Gleitzeitste llen, insbesondere die zwi- 
schenzeitlich von mehreren Bundesbehörden und auch von 
meiner Dienststelle praktizierte bzw. angestrebte Ausgliede- 
rung der Gleitzeitstelle. Aus datenschutzrechtlicher Sicht 
halte ich eine solche Aufgabenverlagerung der Gleitzeitver- 
arbeitung von der Beschäftigungsbehörde hin zu einer ande- 
ren Bundesbehörde (etwa dem Bundesverwaltungsamt) für 
eine gute Lösung. 

Maßgeblich ist hierbei jedoc h immer die datenschutzge- 
rechte Organisation und Gestaltung des automatisierten Ver- 
fahrens und der Gleitzeitstelle und eine klare Abgrenzung 
und Festlegung, wer bei der V erarbeitung von Mitarbeiter- 
daten welche konkreten Aufgaben wahrnimmt und somit 
die Befugnisse hat, die hierfür erforderlichen Personaldaten 
zu verarbeiten. Dies sollte de tailliert zwischen der verant- 
wortlichen Stelle und der beau ftragten Behörde (z. B. im 
Rahmen einer Dienstleistungsvereinbarung) geregelt wer- 
den, sich in einer Dienstvereinbarung widerspiegeln und 
den Mitarbeitern transparent dargestellt werden. 

Ich werde auch in Zukunft der Thematik Gleitzeitverarbei- 
tung eine besondere Aufmerksamkeit widmen. 

21.3.4 Kontrollen weisen große Mängel auf- 
Kraftfahrt-Bundesamt mehrfach 
beanstandet 

Im Berichtszeitraum habe ich zweimal das Kraftfahrt-Bun- 
desamt (KBA), die Zentrale des Auswärtigen Amtes (AA) 
sowie ein Bundesgrenzschutzamt beraten und kontrolliert, 
insbesondere im Hinblick auf die automatisierte Personalda- 
tenverarbeitung. 

Zu den Kontrollen im KBA: 

Bereits im Jahre 1994 hatte ich im KBA eine Kontrolle im 
Bereich der automatisierten Personaldatenverarbeitung 
durchgeführt und hierüber auch in meinem 15. TB (Nr. 9.7.3) 
berichtet. 

Eine erste Prüfung im Berichts Zeitraum (2001 ) hat gezeigt, 
dass das KBA entgegen den im 15. TB und auch in der Stel- 
lungnahme der Bundesregierung hierzu dargestellten Zusa- 
gen, die bereits 1994 festgeste Ilten Mängel zu beseitigen, 
dies in drei Bereichen nicht umgesetzt hatte: Kein Ab- 
schluss einer Dienstvereinbarung zur Personaldatei (Perso- 
nalinformationssystem), weiterhin umfangreiche, ausge- 
füllte Bemerkungs- und Freitextfelder und immer noch eine 
große Anzahl unzulässiger Dateien mit Personalaktendaten 
in Fachabteilungen des KBA. 
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Daneben habe ich zahlreiche weitere unzulässige automati- 
sierte, aber auch manuelle V erarbeitungen von Personal-/ 
Personalaktendaten festgestellt. So hat das KBA z. B. über 
Jahre hinaus alle Personalakt en von Beamten, die zu einer 
anderen Behörde oder in den Ruhestand versetzt wurden, 
vor der Abgabe der (Original-)Personalakte vollständig ko- 
piert (bis zu 200 Seiten) und dauerhaft ohne Wissen der Be- 
troffenen im KBA aufbewahrt. Das KBA konnte mir weder 
eine Begründung hierfür geben noch darlegen, aufgrund 
welcher oder wessen Anweisung dies aufwendige Verfahren 
so praktiziert worden ist. Di e zahlreichen (teils seit 1994 
vorhandenen) Mängel des KBA im Umgang mit Personal- 
aktendaten habe ich gemäß § 25 Abs. 1 BDSG gegenüber 
dem Bundesministerium für Verkehr, Bau- und Wohnungs- 
wesen (BMVBW) als einen V erstoß gegen die Regelungen 
der §§ 90 ff. BBG beanstandet und dringenden Handlungs- 
bedarf aufgezeigt. 

Die Umsetzung der mir vom BMVBW gegebenen Zusagen 
bzw. dargestellten Maßnahmen habe ich nach über einem 
Jahr (2002) nochmals im KBA kontrolliert. Hierbei war es 
mir erstmalig möglich, auch außerhalb des Personalinforma- 
tionssystems im Personalreferat geführte weitere automati- 
sierte Dateien mit Personal-/Personalaktendaten auf ihre 
Rechtmäßigkeit hin zu überprü fen. Diese waren mir leider 
auch auf meine Nachfragen hin bei der Kontrolle im Jahre 
2001 nicht gezeigt worden und ihre Existenz wurde mir erst 
bestätigt, nachdem mir hierfür Anhaltspunkte Vorlagen. Ich 
habe gegenüber dem BMVBW deutlich gemacht, dass ein 
solches Verhalten des KBA nicht im Einklang mit § 24 
Abs. 4 BDSG steht. Danach sind die öffentlichen Stellen des 
Bundes verpflichtet, mich bei der Erfüllung meiner Aufga- 
ben zu unterstützen. Ich habe fe ststellen müssen, dass diese 
beim Sachgebietsleiter geführten Dateien gegen zahlreiche 
Vorschriften des BBG und des BDSG verstoßen. Sie verlet- 
zen insbesondere die Persönlichkeitsrechte der Betroffenen, 
weil dort Vermerke mit auf Mitarbeiter bezogenen, subjek- 
tiven, negativen und diskriminierenden Inhalten und mit be- 
sonderen Arten personenbezogener Daten gemäß § 3 Abs. 9 
BDSG (Angaben über die Gesundheit) gespeichert sind. 

Neben diesen und weiteren um fangreichen neuen Daten- 
schutzverletzungen ergab die Nachkontrolle wiederum teil- 
weise deckungsgleiche schwere Mängel und V erstöße des 
KBA im Umgang mit diesen besonders sensiblen und schüt- 
zenswerten PersonaL/Personalaktendaten. Bestätigungen 
bzw. Zusagen mir gegenüber hinsichtlich einer datenschutz- 
gerechten Verfahrensweise trafen größtenteils immer noch 
nicht zu bzw. waren nicht umgesetzt, was angesichts der 2001 
ausgesprochenen Beanstandung völlig unverständlich ist. 

Ich habe deshalb die wiederum zahlreichen festgestellten 
Mängel im Umgang des KBA mi t Personalaktendaten ge- 
mäß § 25 Abs. 1 BDSG gegenüber dem BMVBW als einen 
Verstoß gegen die Regelungen der §§90 ff. BBG beanstan- 
det. Darüber hinaus musste ich aufgrund der Vorgefundenen 
erheblichen technisch-organisatorischen Mängel bei der 
Verarbeitung dieser Mitarbeiterdaten, insbesondere solcher 
mit Angaben über die Gesundheit, gern. § 25 Abs. 1 BDSG 
einen Verstoß gegen § 9 BDSG nebst Anlage beanstanden. 

Vor dem Hintergrund der wiederholten, teilweise jahrelan- 
gen unzulässigen Datenverarb eitungen des KBA habe ich 
das BMVBW aufgefordert, dringend dafür Sorge zu tragen, 
dass die V erarbeitung von Personal-/Personalaktendaten 


dort zukünftig gesetzmäßig erfolgt. Hierauf werde ich ein 
besonderes Augenmerk legen. 

Zur Kontrolle in der Zentrale des AA: 

ln den Personalreferaten der Zentrale des AA wird das 
selbstentwickelte zentrale Personalinformations-/ -Verwal- 
tungssystem PEPSY eingesetzt. Daneben habe ich bei einem 
Kontroll- und Beratungsbesuch dort noch zahlreiche sons- 
tige automatisierte Personaldateien mit oftmals identischem 
Inhalt vorgefünden, in denen Daten zu solchen Zwecken 
verarbeitet wurden, für die das AA PEPSY entwickelt hat. 

Damit war eine einheitliche „Pflege“ der Personal-/Perso- 
nalaktendaten nicht gewährleistet, mit der Gefahr, dass die 
Mitarbeiterdaten nicht dec kungsgleich und damit teilweise 
unrichtig waren. Ich habe in diesem Zusammenhang auch 
auf das hierdurch verursachte Problem aufmerksam ge- 
macht, die W ahmehmung der Einsichts- und Auskunfts- 
rechte der Beschäftigten gemäß § 90c BBG bzw . 34 BDSG 
sicherzustellen, und auf die erschwerte Überwachung der 
ordnungsgemäßen Anwendung der Datenverarbeitungspro- 
gramme durch den behördlichen Datenschutzbeauftragen 
gemäß § 4g Abs. 1 Nr. 1 BDSG hingewiesen. 

Da es weder zu PEPSY noch zu den sonstigen automati- 
sierten Verarbeitungen von Mitarbeiterdaten schriftliche 
Datenschutzregelungen/Dienstanweisungen gab, habe ich 
entsprechenden Handlungsbedarf aufgezeigt. Das AA hat 
umgehend eine solche Anweisung für die Beschäftigten in 
den Personalreferaten erlassen, eine sofortige Bestandsauf- 
nahme aller Dateien mit Mitarbeiterdaten durchgeführt, de- 
ren Erforderlichkeit für die Aufgabenerfüllung der Perso- 
nalreferate außerhalb von PEPSY geprüft und weitere 
notwendige Maßnahmen (z. B. Löschung der Daten oder 
Übernahme in PEPSY) durchgeführt. Zu weiteren Kontroll- 
feststellungen hat das AA sc hnellstmöglich meine daten- 
schutzrechtlichen Empfehlungen umgesetzt und in den 
kurze Zeit später in Kraft gesetzten Datenschutzgrundsatz- 
Runderlass auch Regelungen zur V erarbeitung von Mitar- 
beiterdaten aufgenommen. Unter Berücksichtigung dieser 
Tatsachen war es mir nach § 25 Abs. 2 BDSG möglich, von 
einer förmlichen Beanstandung dieser Verstöße abzusehen. 

Zur Kontrolle eines Bundesgrenzschutzamtes: 

Im Sachgebiet Personal des geprüften Bundesgrenzschutz- 
amtes werden zahlreiche selbstentwickelte elektronische 
Dateien mit PersonaL/Personalaktendaten geführt. Neben 
den dort festgestellten un d aus datenschutzrechtlicher 
Sicht problematischen Bemerkungsfeldern zum freien Ein- 
trag von T exten fanden sich auch für die Aufgabenerfül- 
lung der Personalstelle nicht (mehr) erforderliche Doku- 
mente, aber auch komplette Da teien, die bereits erledigte 
bzw. abgeschlossene Vorgänge betrafen und damit unzu- 
lässig waren. 

Auch in einer zu diesem Bundesgrenzschutzamt gehören- 
den Grenzschutzinspektion waren beim Leiter zwei Da- 
teien mit sehr sensiblen Personalaktendaten (u. a. Beurtei- 
lungsnoten) gespeichert, deren dauerhafte elektronische 
Speicherung weder vorgesehen noch erforderlich war und 
die hätten gelöscht sein müssen. Als gravierenden V erstoß 
gegen die gesetzlichen Vorgaben der §§ 90 ff. BBG und ge- 
gen § 9 sowie Anlage zu § 9 Satz 1 BDSG habe ich bewer- 
tet, dass sich der Dienststellenleiter diese Dateien unter der 
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Bezeichnung „Heimarbeit“ vom Systemadministrator auf 
Diskette hatte speichern lassen, um sie anschließend auf 
seinem privaten PC zu Hause zu verarbeiten. Die Prüfung 
im Bereich der konventionelle n Personaldatenverarbeitung 
ergab ebenfalls umfassende Gesetzesverstöße (etwa bei der 
Führung der Personalnebenakten in der Grenzschutz- 
inspektion). 

Die Mängel im Umgang mit besonders sensiblen und schüt- 
zenswerten Personah/Personalaktendaten habe ich gemäß 
§ 25 Abs. 1 BDSG gegenüber dem BMI als V erstoß gegen 
die Regelungen der §§ 90 f f. BBG beanstandet. Das BMI 
hat umgehend im geprüften Bundesgrenzschutzamt, aber 
auch im gesamten Bereich de s Bundesgrenzschutzes die 
notwendigen Maßnahmen zur Einhaltung der gesetzlichen 
Regelungen der § 90 ff. BBG getroffen. 

21 .4 Beihilfedaten - noch immer für die 
Personalverwaltung interessant? 

ln der V ergangenheit habe ich mich mehrfach zur Bear- 
beitung von Beihilfen sowie zur Abschottung der Beihilfe- 
bearbeitung von der übrigen Personalverwaltung geäußert 
(s. 15. TB Nr. 9.5.21; 16. TB Nr . 23.4.3; 17 TB Nr . 18.5; 
18. TB Nr. 18.5.1). 

Bei der Behandlung von Einzelei ngaben habe ich festge- 
steht, dass Probleme bei de r Abschottung der Beihilfe- 
bearbeitung dadurch entstehen können, dass in einer Or ga- 
nisationseinheit sowohl Beihilfen als auch die übrigen 
Personalausgaben bearbeitet werden. 

ln § 90a Bundesbeamtengesetz (BBG) ist u. a. festgelegt, dass 
die Beihilfeakte in einer von der übrigen Personalverwaltung 
getrennten Organisationseinheit bearbeitet werden soll. 

Eine Einengung des Begriffs „übrige Personalverwaltung“, 
wie sie in der Begründung zu § 90a BBG enthalten ist (Per- 
sonalverwaltung im engeren Sinn, d. h. Erledigung der Per- 
sonalangelegenheiten ohne die Bearbeitung von Personal- 
ausgaben), kann im Hinblick auf die neueren Regelungen 
zum Umgang mit besonderen Kategorien personenbezoge- 
ner Daten nicht vorgenommen werden; sowohl Artikel 8 der 
Richtlinie 95/46/EG des Eur opäischen Parlaments und des 
Rates vom 24. Oktober 1995 zum Schutz natürlicher Perso- 
nen bei der Verarbeitung personenbezogener Daten und zum 
freien Datenverkehr als auch § 3 Abs. 9 BDSG in der seit 
23. Mai 2001 geltenden Fassung erklären Gesundheitsdaten 
zu besonderen personenbezogenen Daten, die damit in be- 
sonderem Maße zu schützen sind. 

Aus den vorgenannten Gründen halte ich eine strikte Ab- 
schottung der Beihilfebearbeitung von der gesamten übri- 
gen Personalverwaltung - also auch von der Bearbeitung 
der sonstigen Personalausgaben - für dringend erforder- 
lich. 

Folgende organisatorische Lösungen könnten dabei getrof- 
fen werden: 

1. Die Beihilfebearbeitung wird von einer Stelle außerhalb 
der Personalverwaltung der Behörde wahrgenommen. 

2. Die Beihilfebearbeitung für die Beschäftigten wird einer 
anderen Behörde übertragen. 

Beide Lösungen halte ich für datenschutzgerecht. 


Über diese Auffassung habe ich die obersten Bundesbehör- 
den mit Rundschreiben vom 17. September 2002 (s. Anla- 
ge 28) unterrichtet. 

Durch eine Einzeleingabe bin ich auf Mängel im Umgang 
mit Beihilfeakten bei der Grenzschutzdirektion hingewiesen 
worden. 

Nach § 90a Satz 3 BBG darf die Beihilfeakte für andere als 
für Beihilfezwecke nur verwendet oder weiter gegeben wer- 
den, wenn der Beihilfeberechtigte im Einzelfall einwilligt. 
In einem Einzelfall hat die Grenzschutzdirektion Auszüge 
aus der Beihilfeakte eines Be amten in einem V erwaltungs- 
streitverfahren über die Zahlung von Bezügen dem V erwal- 
tungsgericht übermittelt. Diese Übermittlung ist erfolgt, 
ohne dass der Beamte in die Übermittlung eingewilligt hat. 
Hierin habe ich einen schwerwiegenden V erstoß gegen die 
Vorschriften des § 90a BBG gesehen, den ich nach § 25 
Abs. 1 BDSG beanstandet habe. 

22 Sozialdatenschutz - Allgemeines - 

22.1 Nutzung von Sozialdaten zu anderen, 

insbesondere privaten Zwecken 

Im Rahmen der Beratungen eine s Gesetzes für eine bessere 
Absicherung der Vorleistungen von Bauhandwerkem (Vor- 
leistungssicherungsgesetz) war im Frühjahr 2002 vom Bun- 
desrat vorgeschlagen worden, in das Sozialgesetzbuch X 
einen neuen § 68a einzufügen, durch den den Sozialleis- 
tungsträgern die Befugnis übertragen werden sollte, An- 
schriften von Betroffenen für die Vollstreckung privatrecht- 
licher Titel an Private zu übermitteln. Hier gegen sind von 
mir, aber auch von den Bunde sministerien für Gesundheit 
sowie für Arbeit und Sozialordnung erhebliche Bedenken 
vorgetragen worden. Mit dem vor gesehenen § 68a SGB X 
wäre es ermöglicht worden, Sozialdaten durch Sozialleis- 
tungsträger an Private zur Durchsetzung privatrechtlicher 
Ansprüche zu übermitteln. 

Bei den Sozialdaten handelt es sich um personenbezogene 
Daten, die einem besonderen Amtsgeheimnis unterliegen 
(§ 35 SGB I). Diese Daten sind besonders schutzbedürftig. 
Die Vorschriften des SGB über den Datenschutz stellen die- 
sen besonderen Schutz in hohem Maße sicher . Die Über- 
mittlung von Sozialdaten ist nur zulässig, soweit dies im 
SGB X oder in anderen Büchern des Sozialgesetzbuches er- 
laubt wird. Zweck dieser Ausnahmevorschriften ist die Ver- 
sorgung bestimmter öffentlicher Stellen, z. B. Polizeibehör- 
den, Staatsanwaltschaften ode r Gerichte, mit bestimmten 
Grundinformationen, die diese zur Erfüllung ihrer öf fentli- 
chen Aufgaben benötigen. 

Hiermit sind die in dem Gesetzentwurf beabsichtigten Über- 
mittlungstatbestände nicht zu vergleichen. Hier geht es um 
private Interessen, die von jedermann geltend gemacht wer- 
den können. Diesen Interessen gegenüber ist das Sozialge- 
heimnis höher zu bewerten, zumal es sich hierbei um ein 
Recht handelt, dem nach der V erfassung ein besonderer 
Schutz zukommt. Anderenfalls würden die Sozialleistungs- 
träger zu Ersatzmeldebehörden. Eine solche Funktion wäre 
mit ihrer Aufgabenerfüllung als Sozialleistungsträger nicht 
vereinbar. 

Ich werde auch künftig gegen eine Ausweitung der Über- 
mittlungsbefugnisse im Rahmen des Sozialgesetzbuches in 
dem vorgenannten Sinne eintreten. 
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23 Arbeitsverwaltung 

23.1 Organisation des Datenschutzes in 

der Bundesanstalt für Arbeit 

Die Organisation des Datenschutzes in der Bundesanstalt 
für Arbeit (BA) ist seit langem Gegenstand meiner Tätig- 
keitsberichte (2. TB S. 30 f.; 3. TB S. 43; 5. TB S. 56 f.). 
Seit den frühen Achtzigerjah ren wurde der Datenschutz in 
der Hauptstelle der BA 

— fachintegriert von den Abteilungen durch Fachreferate 
mit Ausnahme der IT; 

- abteilungsübergreifend bei gemeinsamen Angelegenhei- 
ten von einem Fachreferat Datenschutz, das gleichzeitig 
Ansprechpartner für mich bei der BA war; 

- abteilungsübergreifend im Zusammenhang mit der IT 
von einem IT-Fachreferat und 

— als Kontrolltätigkeit vom Be auftragten für den Daten- 
schutz der BA (BfD/BA — diese Tätigkeit war seit An- 
fang der Achtzigerjahre verbunden mit der Funktion des 
Direktors des Vorprüfungsamtes) 

wahrgenommen. Hinzu kamen die nach dem Dienstblatt- 
Runderlass 46/97 vor gesehenen Ansprechpartner für den 
Datenschutz in den einzelnen Arbeitsämtern. 

Insbesondere nach der Novellie rung des Datenschutzrechts 
im Jahr 2001 entsprach diese Organisation — auch nach Auf- 
fassung der BA - nicht mehr den gesetzlichen Vorgaben und 
den fachlichen Anforderungen an einen zeitgemäßen Daten- 
schutz. Maßgeblich für die Or ganisation des Datenschutzes 
und die Bestehung des behö rdlichen Datenschutzbeauftrag- 
ten in der BA sind § 18 BDSG sowie § 81 Abs. 4 SGB X 
i. V. m. §§ 4f, 4g BDSG. Danach ist der behördliche Daten- 
schutzbeauftragte dem Leiter des Sozialleistungsträgers un- 
mittelbar zu unterstehen, wobei er bei der Ausübung seiner 
Fachkunde auf dem Gebiet de s Datenschutzes weisungsfrei 
ist (§ 81 Abs. 4 SGB X i. V . m. § 4f Abs. 3 Sätze 1 und 2 
BDSG). Dies war bei der bisherigen Oiganisationsform nicht 
der Fall. Hinzu kamen auch Probleme in der täglichen Praxis 
mit der bisherigen Datenschutzorganisation bei der BA. 

Die erforderliche Neuorganisation des Datenschutzes der BA 
habe ich beratend begleitet. So habe ich darauf hingewirkt, 
dass angesichts der Größe der BA mit ihren ca. 96 000 Mitar- 
beitern und jährlich ca. sech s bis sieben Millionen Kunden 
die Arbeitskapazität des BfD/ BA für seine Aufgaben nach 
§ 81 Abs. 4 SGB X i. V . m. § 4g Abs. 1 BDSG freigehalten 
und ihm die erforderlichen Sach- und Personalmittel zur Ver- 
fügung gesteht werden. Erfreulicherweise ist die BA dieser 
Anregung gefolgt. Die Funkti on des BfD/BA wird nunmehr 
als „füll-time-job“ wahrgenommen. Auch ist er nunmehr or- 
ganisatorisch unmittelbar dem V orstand der BA untersteht, 
was sich auch im Organigramm der Hauptstelle wiederfindet. 

Nicht geändert hat sich jedoch, dass neben dem BfD/BA ein 
Fachreferat Datenschutz (Ref. IT/DS) eingerichtet ist, das 
insbesondere in Petitionsangelegenheiten mein Ansprech- 
partner bei der BA ist. Üb erlegungen der BA - die von mir 
nachhaltig unterstützt wurden - diese beiden Stehen zusam- 
menzuführen, sind bedauerliche rweise nicht verwirklicht 
worden, ln der Praxis zeigen sich hier häufig vermeidbare 
Reibungsverluste. Auch habe ich angesichts der Größe der 
Bundesanstalt Überlegungen unter stützt, den BfD/BA mit 
einer ausreichenden Anzahl Mitarbeiter auszustatten, wie 


dies in § 81 Abs. 4 Satz 1 SGB X i. V. m. § 4f Abs. 5 Satz 1 
BDSG vorgesehen ist. Bedauerlicherweise wurden auch 
hier die positiven Überlegungen innerhalb der BA nicht rea- 
lisiert. Hinsichtlich der Sicherstellung des Datenschutzes in 
den Arbeitsämtern sollten auch unter Nutzung vorhandener 
Fachkunde in den Landesarbeitsämtem und bei den An- 
sprechpartnem für den Datens chutz in den Arbeitsämtern 
praxisnahe Lösungen gefunden werden. Zu meinem Bedau- 
ern wurden auch hier bei der Umsetzung der Überlegungen 
in die Praxis erhebliche Abstriche gemacht. 

Wenn auch noch Nachbesserungen bezüglich der Or ganisa- 
tion des Datenschutzes in de r BA dringend erforderlich 
sind, verkenne ich nicht, dass die BA bei der Neuor ganisa- 
tion des Datenschutzes in ihrem Bereich einen erheblichen 
Schritt in die richtige Richtung gemacht hat. 

23.2 Modernisierung der Arbeitsverwaltung 

23.2.1 Zusammenarbeit zwischen Arbeits- und 
Sozialämtern - Das Projekt MoZArT 

Besondere Probleme bei der V ermittlung in Arbeit haben 
die Arbeitsämter bei den Arbeitslosen, die sowohl Arbeits- 
losen- als auch Sozialhilfe beziehen. Zwischen der Ar- 
beitslosen- und der Sozialhilfe bestehen neben vielfältigen 
Unterschieden sich teilweise überschneidende Zielsetzun- 
gen. So ist es nicht verwunderlich, dass die V erbesserung 
der Zusammenarbeit der hierfür jeweils zuständigen Behör- 
den bis hin zur Zusammenlegung dieser beiden staatlichen 
Fürsorgesysteme schon längere Zeit diskutiert wird. 

Eine engere Zusammenarbeit zwischen Arbeits- und Sozial- 
ämtern war allerdings nicht erst im Berichtszeitraum ein 
wichtiges Thema. Bereits seit Mitte der Achtzigerjahre gibt 
es Kooperationsvereinbarungen zwischen einzelnen Ar- 
beits- und Sozialämtern. Die Regierungskoalition nahm in 
ihrer Koalitionsvereinbarung vom 20. Oktober 1998 für die 
14. Legislaturperiode ausdrücklich die V erbesserung der 
Zusammenarbeit zwischen Arbeits- und Sozialämtern auf, 
um die Vermittlung in Arbeit zu erleichtern und um über- 
flüssige Bürokratie abzubauen. Auch die Opposition hat so- 
wohl über den Bundesrat (identische Gesetzesinitiativen in 
Bundesratsdrucksache 52/02, 443/02 und 812/02) als auch 
über die CDU/CSU-Fraktion des Deutschen Bundestages 
(Bundestagsdrucksache 14/8365 und 15/24 - identisch mit 
den Bundesratsinitiativen) mit dem Entwurf eines Gesetzes 
zum optimalen Fördern und Fordern in V ermittlungsagentu- 
ren (OFFENSIV-Gesetz = Optimal Fördern und Fordern - 
Engagierter Service in Vermittlungsagenturen) sowie dem 
Entwurf eines Gesetzes zum Fö rdem und Fordern in der So- 
zialhilfe und Arbeitslosenhilfe (Fördem-und-Fordem-Ge- 
setz - Bundestagsdrucksache 1 5/46) die Zusammenführung 
von Arbeitslosen- und Sozialhilfe in das Gesetzgebungsver- 
fahren eingeführt. Dies verdeutlicht, dass hier in der Politik 
- bei unterschiedlicher Auffassung hinsichtlich der konkre- 
ten Umsetzung — ein grundsätzlicher Konsens besteht. 

ln der Mitte der Legislaturpe riode legte die Bundesregie- 
rung einen Gesetzentwurf vor, der als „Gesetz zur Verbesse- 
rung der Zusammenarbeit zwischen Arbeitsämtern und T rä- 
gem der Sozialhilfe“ vom 20. November 2000 (BGBl. 1 
S. 1590 - Zusammenarbeitsgesetz) verabschiedet wurde. Da- 
nach fördert das Bundesministe rium für Arbeit und Sozial- 
ordnung - BMA (jetzt: Bundesministerium für W irtschaft 
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und Arbeit) aufgrund von Koope rationsverträgen zwischen 
Arbeits- und Sozialämtern durchgeführte Modellprojekte 
zur Verbesserung der Zusammenarbeit zwischen diesen Be- 
hörden, um insbesondere die V ermittlungssituation von ar- 
beitslosen Empfängern von Sozial hilfe deutlich zu verbes- 
sern (§§ 371a und 421dSGB III, §§ 18 Abs. 2a und 18a 
Bundessozialhilfegesetz — BSHG). Im Berichtszeitraum 
wurde unter dem Projektnamen MoZArT ( Modellprojekte 
zur Verbesserung der Zusammenarbeit zwischen Arbeitsäm- 
tern und Trägem der Sozialhilfe) begonnen, ca. 30 Projekte 
(z. B. Job-Center [s. u. Nr. 23.2.2]), Kombi-Lohnkostenzu- 
schüsse etc.) mithilfe eines privaten Projektträgers zu fördern. 
Die Förderung endet spätes tens zum 3 1 . Dezember 2004 
(§ 42 ld Abs. 1 Satz 6 SGB III). Eine Liste mit einer stich- 
wortartigen Beschreibung der Mo dellprojekte findet sich im 
Internet unter der Adresse http://www.bma-mozart.de. 

Folgende Grundtypen von Modellvorhaben werden geför- 
dert: 

Schwerpunktmäßige Betreuung der Bezieher von Arbeitslo- 
sen- und/oder von Sozialhilfe (Beratung, Vermittlung, Erar- 
beitung von Eingliederungsplänen, Vorbereitung und Orga- 
nisation von Eingliederungsmaßnahmen, Auszahlung von 
Leistungen) 

- durch das Arbeitsamt oder 

- durch den Träger der Sozialhilfe oder 

- durch eine vom Arbeitsamt und den T rägern der Sozial- 
hilfe gemeinsam gebildete oder beauftragte Stelle. 

Andere Arbeitslose, z. B. Bezieher von Arbeitslosengeld, 
können in die Modellvorhaben einbezogen werden, wenn 
dies aufgrund von deren Ausgestaltung zweckmäßig ist. Die 
Modellprojekte beinhalten 

- gemeinsame Aktivitäten, insbesondere Datenaustausch; 

- gemeinsame Einbeziehung (privater) Dritter bei der Ver- 
mittlung, Beratung und Betreuung; 

- gemeinsame Planung und Durchführung von Eingliede- 
rungsprojekten (u. a. Errichtung einer gemeinsamen An- 
laufstelle); 

- gemeinsame Projekte zur Schaffung von Arbeitsplätzen; 

- gemeinsam finanzierte Qualifizierungs- und/oder Be- 
schäftigungsmaßnahmen. 

Das mit dem Zusammenarbeitsgesetz verfolgte Ziel, Syner- 
gieeffekte anzustreben und doppelten Aufwand bei bzw 
Reibungsverluste zwischen Arbeits- und Sozialamt zu ver- 
meiden, habe ich ausdrücklich unterstützt. Zu meinem Be- 
dauern wurden im Gesetzgebungsverfahren datenschutz- 
rechtliche Fragen jedoch nicht ausreichend berücksichtigt. 
Dies führte bei der Umsetzung des Gesetzes im Berichts- 
zeitraum zu nicht unerheblichen Problemen: 

- Die in § 371a SGB 111 vogesehenen Kooperationsverträge 
zwischen Arbeits- und Sozialämtern sollen — wie sich aus 
der amtlichen Begründung zu dieser V orschrift ergibt 
(Bundestagsdrucksache 14/3765 S. 5) - auch dafür sogen, 
dass die Möglichkeiten moderner Informations- und Kom- 
munikationstechnik umfassend bei und zwischen Arbeits- 
und Sozialamt genutzt werden. Ein solcher Kooperations- 
vertrag ist von seiner Rechts qualität her jedoch nicht ge- 
eignet, Grundrechte wie das Recht auf informationelle 
Selbstbestimmung einzuschränken. Mangels anderweiti- 


ger Regelung in § 371a SGB III und § 18 Abs. 2 BSHG 
gelten für den „Datenaustausc h“ zwischen Arbeits- und 
Sozialamt daher weiterhin die §§ 67 f f. SGB X und 
35 SGB I, in deren Rahmen si ch auch die Kooperations- 
verträge zwischen Arbeits- und Sozialamt bewegen müs- 
sen. Eine in Nr. B.3 des Vorblatts des Regierungsentwurfs 
zum Zusammenarbeitsgesetz suggerierte Abweichung 
von bisherigen datenschutzr echtlichen Regelungen be- 
steht daher nicht, ln der Praxis habe ich jedoch immer wie- 
der feststellen müssen, dass dieser Hinweis als „Freibrief 1 
für einen ungehinderten und umfassenden Datenaustausch 
zwischen den beteiligten Behörden sowie beteiligten pri- 
vaten Dritten angesehen wurde. 

Um den Gesetzeszweck, Modelle für eine künftige Zu- 
sammenarbeit zwischen Arbeits- und Sozialämtern aus- 
zuprobieren, nicht zu gefährden, habe ich meine nicht 
unerheblichen Bedenken gegen die Übermittlung von 
Daten Arbeitsuchender an Sozialämter oder die gemein- 
sam gebildeten oder beauftragten Stellen nach § 42 ld 
Abs. 2 Nr. 3 SGB 111 zurückgestellt, soweit es sich um 
Daten von Personen handelt, für die das Modellprojekt 
geschaffen wurde. Einen Zugriff von Sozialämtern oder 
der gemeinsam gebildeten oder beauftragten Stelle auf 
alle Daten des Arbeitsamtes darf es jedoch nicht geben, 
ln diesen Fällen läge eine V erletzung des Sozialgeheim- 
nisses vor. Ich habe große Zweifel, ob bei der derzeitigen 
technischen Ausstattung der Arbeitsämter die erforderli- 
che Einschränkung der Zugrif fsberechtigung zu Daten 
von Arbeitsuchenden in den Computersystemen der 
Bundesanstalt für Arbeit (BA) realisierbar ist. Unter dem 
Stichwort „Datenschutz durch Technik“ gilt es hier, die 
technische Ausstattung bei der BA auf den Stand der 
heutigen Technik zu bringen. 

- Das Zusammenarbeitsgesetz berücksichtigt ferner nicht, 
dass es sich bei den Arbeitsämtern um Bundesbehörden, 
bei den Trägem der Sozialhilfe dagegen um Kommunen 
handelt. Die genannten Stellen unterliegen daher einer 
unterschiedlichen Dienst-, Fach und Datenschutzauf- 
sicht. Das Gesetz lässt Fragen zur rechtlichen V erant- 
wortlichkeit sowie der rechtlichen und parlamentari- 
schen Kontrolle, insbesondere der durch §§ 42 ld Abs. 2 
Nr. 3 SGB 111 und § 18a Abs. 2 Nr . 1 BSHG vorgesehe- 
nen „gemeinsam gebildete(n) oder beauftragte(n) Stelle“ 
völlig offen. Soweit es sich bei diesen Stellen um private 
Dritte handelt, darf nicht aus dem Auge verloren werden, 
dass diese Stellen nicht Sozialleistungsträger sind und 
für sie daher der Sozialdatenschutz nicht gilt. 

Mit den für die Kommunen und damit für die Sozialäm- 
ter zuständigen Landesbeauftragten für den Datenschutz 
habe ich mich dahingehend ge einigt, dass für die Mo- 
dellprojekte insoweit gemeinsame datenschutzrecht- 
liche Kontrollen durchgeführt werden sollen. Eine sol- 
che Kontrolle mit einem Landesbeauftragten für den 
Datenschutz hat im Berichtszeitsraum stattgefunden. 

- Besondere Probleme bereitete die in § 421 Abs. 3 SGB 111 
und § 18a Abs. 4 BSHG vor gesehene Evaluierung der 
Modellprojekte. Gemeinsam mit den Landesbeauftrag- 
ten für den Datenschutz habe ich bezweifelt, 

- ob diese Regelungen die Übermittlung nicht anonymi- 
sierter personenbezogener Daten an das beauftragte 
private Forschungsinstitut rechtfertigen, insbesondere 
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auch soweit es sich um Daten von Arbeitsuchenden 
bzw. Sozialhilfeempfängem handelt, die nicht von 
den Modellprojekten erfasst werden, 

- ob diese Regelungen eine personenbezogene Über- 
mittlung der Daten Arbeits uchender und Sozialhilfe- 
empfänger ohne deren Einwilligung erlauben, 

- ob die Übermittlung der Sozialversicherungsnum- 
mer an das private Forschungsinstitut mit dem Verbot 
des § 18f Abs. 5 SGB IV vereinbar ist, diese als Ord- 
nungsnummer zu nutzen, 

- ob die Übermittlung der Daten an das private For- 
schungsinstitut ohne die nach § 75 SGB X erforderli- 
che Genehmigung durch die zuständige oberste Bun- 
des- oder Landesbehörde erfolgen durfte. 

Mit dem BMA und dem beauftragten Forschungsinstitut 
wurden dabei von den Landesbeauftragten und mir in- 
tensive Gespräche geführt, die dazu führten, dass das 
Forschungsinstitut mittlerweile die erforderlichen Ge- 
nehmigungen nach § 75 SGB X beantragt und erhalten 
hat. Auf die Übermittlung der Sozialversicherungsnum- 
mer hat es inzwischen verzichtet und bildet aus dem Ak- 
tenzeichen des Sozialamtes und weiteren Daten eine 
„virtuelle Kundennummer“. Es hat den Landesbeauf- 
tragten und mir nachvollziehbar dar gelegt, aus welchen 
Gründen die Einwilligung der betroffenen Arbeitsuchen- 
den und Sozialhilfeempfänger nicht eingeholt werden 
kann. Außerdem wurde den Landesbeauftragten und mir 
erläutert, dass die Daten von Arbeitsuchenden bzw . So- 
zialhilfeempfängern aus nicht an Modellprojekten betei- 
ligten Arbeits- und Sozialämtern zu V ergleichszwecken 
benötigt würden, um den Erfolg bzw . Misserfolg des 
Modellprojektes aufzeigen zu können. Um die Modell- 
projekte evaluieren zu können, werden von den Arbeits- 
und Sozialämtern dem Forschungsinstitut personenbezo- 
gene Daten von 

— Personen, die von Modellämtern zur T eilnahme am 
Modellprojekt ausgesucht wurden; 

- Personen, die von Modellämtem nicht zur Teilnahme 
am Modellprojekt ausgesucht wurden; 

und 

— Personen, die von Vergleichsämtem benannt werden; 

übermittelt, die zusätzlich persönlich befragt werden sol- 
len. 

Das Ziel der Kooperation von Arbeits- und Sozialämtern, die 
betroffenen arbeitssuchenden Sozialhilfeempfänger von bü- 
rokratischen Zwängen, Laufereien usw. zu befreien und den 
beteiligten Stellen Mehrfacharbeit etwa durch doppelte Erhe- 
bung des gleichen Lebenssachverhalts zu ersparen, wird von 
mir nachhaltig unterstützt. Dabei darf allerdings der Grund- 
rechtsschutz des Betroffenen nicht aus den Augen verloren 
werden. Das Unglück, seine Arbeitsstelle zu verlieren oder 
Sozialhilfeberechtigter zu werden, darf nicht zum Schaden 
für das Grundrecht auf informationelle Selbstbestimmung 
des Betroffenen führen. Unter Berücksichtigung der grundle- 
genden Unterschiede zwischen Arbeitslosen- und Sozialhilfe 
halte ich eine engere, auch technikunterstützte und daten- 
schutzgerechte Kooperation von Arbeits- und Sozialämtern 
für realisierbar. Dem Datenschutzrecht kommt hierbei keine 
verhindernde, sondern eine gestaltende Rolle zu. 


23.2.2 Die Vorschläge der Hartz-Kommission auf 
dem datenschutzrechtlichen Prüfstand 

Im Februar 2002 beauftragte die Bundesregierung eine aus 
15 Mitgliedern bestehende Kommission „Moderne Dienst- 
leistungen am Arbeitsmarkt “ unter Leitung von Dr . Peter 
Hartz, Mitglied des V orstandes der Volkswagen AG (nach 
ihrem Vorsitzenden auch „Hartz-Kommission“ genannt), 
Vorschläge zur Reform der BA zu erarbeiten. Am 16. Au- 
gust 2002 legte die Kommission einen umfangreichen Be- 
richt vor, der noch im Berichtszeitraum gesetzgeberisch um- 
gesetzt wurde (Erstes und Zweites Gesetz für moderne 
Dienstleistungen am Arbeitsmarkt, jeweils vom 23. Dezem- 
ber 2002, BGBl. 2002 I, S. 4607 bzw. S. 4621). 

Die Vorschläge der Hartz-Kommission haben zum T eil er- 
hebliche Auswirkungen auf rechtliche Regelungen zum So- 
zialdatenschutz: 

- Das von der Hartz-Kommission vor geschlagene Modell 

Job-Center zur Zusammenarbeit von Arbeits- und So- 
zialämtern ist eines der aufgrund des Gesetzes zur 
Verbessung der Zusammenarbeit zwischen Arbeitsäm- 
tern und T rägem der Sozialhilfe vom 20. November 
2000 (BGBl. I S. 1590 — Zusammenarbeitsgesetz, s. o. 
Nr. 23.2.1) geförderten Modellprojekte. Der aufgrund 
dieses Vorschlags durch das Zweite Gesetz für moderne 
Dienstleistungen am Arbeitsmarkt geänderte § 402 

SGB 111 hat den Betrieb von Job-Centern durch das 
Arbeitsamt in den Katalog der Aufgaben der BA aufge- 
nommen und die Erhebung, V erarbeitung und Nutzung 
der erforderlichen Sozialdaten für zulässig erklärt. Damit 
wird dem Arbeitsamt die Möglichkeit eröffnet, von dem 
örtlichen Sozialamt Daten zu erhalten sowie für dessen 
Aufgaben Daten zu erheben und an dieses zu übermit- 
teln. § 18 Abs. 2a BSHG be inhaltet eine korrespondie- 
rende Vorschrift für die Sozialämter. 

Bei einem Arbeitsamt, das ein Job-Center betreibt, 
werde ich in den nächsten Monaten gemeinsam mit dem 
für das örtliche Sozialamt zuständigen Landesbeauftrag- 
ten für den Datenschutz ei nen datenschutzrechtlichen 
Kontroll-, Beratungs- und Infonnationsbesuch machen 
und auf dieser Grundlage eine gemeinsame datenschutz- 
rechtliche Beurteilung der Job-Center abgeben. 

- Die stärkste Entlastung au f dem Arbeitsmarkt erhof ft 
sich die Hartz-Kommission durch eine Ausweitung der 
Zeitarbeit. Zu diesem Zwec k wurde § 37c mit der V er- 
pflichtung in das SGB 111 eingeführt, dass jedes Arbeits- 
amt mindestens eine Personal-Service-Agentur (PSA) in 
seinem Bezirk einrichtet. Zu diesem Zweck sollen die 
Arbeitsämter Verträge mit privaten Zeitarbeitsuntemeh- 
men abschließen und nur ausnahmsweise PSA in Eigen- 
regie betreiben. Die Arbeit slosen sollen von der PSA 
angestellt und nach Tariflohn bezahlt werden. Unterneh- 
men können die Leiharbeiter kostenlos auf Probe oder 
gegen Entgelt einstellen, sie aber auch jederzeit entlas- 
sen, wenn es die Auftragslage notwendig machen sollte. 
Die Zeitarbeit soll insbesondere schwer vermittelbaren 
Langzeitarbeitslosen zu einer Stelle verhelfen. W er die 
Beschäftigung in einer PSA ablehnt, dem wird das Ar- 
beitslosengeld gekürzt. 

Die PSA werfen datenschutzrechtlich eine Reihe von 
noch nicht geklärten Fragen auf. Dazu gehört auch das 
Verhältnis von Job-Center im Arbeitsamt zu den privat- 
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rechtlich betriebenen PSA und hier vorkommenden 
Übermittlungen von Daten Arbeitsuchender. Das Gesetz 
ist zwar erst zum 1 . Januar 2003 in Kraft getreten; mir 
hegen allerdings bereits Eingaben zu diesem Bereich 
vor, denen ich nachgehen werde. 

Im Bericht der Hartz-Kommission wird unter dem Stich- 
wort „Vernetzung mit Kooperationspartnern“ u. a. der 
„gesonderte Datenzugang“ für Zeitarbeitsfirmen und pri- 
vate Vermittler angeregt, wobei dort ausdrücklich darauf 
hingewiesen wird, Fragen des Datenschutzes zu berück- 
sichtigen. 

Hier hegt eines der größten datenschutzrechtlichen Pro- 
bleme bei den V orschlägen der Hartz-Kommission: die 
Eröffnung der Möglichkeit fü r Dritte, Zugang zu den 
Computersystemen der Arbeitsämter zu erhalten. Dabei 
ist dieser Vorschlag keinesfalls neu. Entsprechende An- 
liegen, mein Einverständnis hierzu zu erteilen, wurden 
bereits in den letzten Jahren mehrfach an mich herange- 
tragen. Das größte Problem ist die veraltete T echnik der 
BA. Diese erlaubt derzeit lediglich, den Zugang Dritter 
auf die Datenbanken und Computersysteme der BA ins- 
gesamt zuzulassen oder gar nicht. Ein Mittelweg, wie 
etwa die Eröffnung des Zugangs nur zu bestimmten Tei- 
len des Systems, ist derzei t nicht möglich. Ein ungehin- 
derter Zugriff privater Dritter auf die Computersysteme 
der BA (nicht nur der V ermittlungs-, sondern auch der 
Leistungsdaten) würde einer Abschaf füng des Sozial- 
datenschutzes für Arbeitslose gleichkommen. Dem Be- 
richt der Hartz-Kommission habe ich aber auch entnom- 
men, dass die Informationstechnik der BA künftig neu 
ausgerichtet werden soll. 1c h werde diesen Prozess da- 
tenschutzrechtlich begleiten. 

Auch der im Bericht der Hartz-Kommission beschrie- 
bene Aufbau eines Forschungsdatenzentrums bei der BA 
wirft eine Reihe datenschutzrechtlicher Fragen auf, wie 
der Zugang externer W issenschaftler zu personenbezo- 
genen Daten aus den Datenbeständen der BA ausgestal- 
tet werden soll. Die Schaf fung eines in diesem Zusam- 
menhang genannten „Scientific/Public Use File“ und 
eines speziellen Forschungsdatengeheimnisses war im 
Berichtszeitraum bereits Gegenstand intensiver Gesprä- 
che mit V ertretern der Ress orts, der B A, dem Statisti- 
schen Bundesamt und vor allem der W issenschaft. Es 
wurde vereinbart, eine Arbeitsgruppe aus Vertretern von 
Bundesministerien, BA, Statistischem Bundesamt, Wis- 
senschaft und Datenschutzbeauftragten zu bilden, die die 
mit der Erstellung eines „Scientific Use File“ verbunde- 
nen Probleme aufbereiten und Lösungsvorschläge erar- 
beiten soll. Zur Mitarbeit hieran habe ich mich bereit er- 
klärt. 

Die im Bericht der Hartz-Kommission erwähnte Ent- 
wicklung einer digitalen Signaturkarte für den Abruf von 
Verdienst- und Arbeitsbescheinigungen (JobCard) wird 
datenschutzrechtlich von mir bereits seit einiger Zeit be- 
gleitet. Sie soll zu erheblichen Einsparungen bei den Un- 
ternehmen führen, die sich durch die Ausstellung von 
entsprechenden Bescheinigungen für ihre Arbeitnehmer 
bzw. ehemaligen Arbeitnehmer erheblich finanziell be- 
lastet fühlen. Die Unterneh men sollen künftig die Be- 
scheinigungen in verschlüsselter Form bei einem Dritten 
(Datenpool) hinterlegen. Der Bürger soll im Bedarfsfall 


die öffentliche Stelle, die die Daten benötigt, mithilfe der 
Signaturkarte berechtigen, die im Datenpool vorhande- 
nen erforderlichen Daten abzurufen. An dem derzeit lau- 
fenden Pilotprojekt, mit dem die Praxistauglichkeit der 
Signaturkarte für Daten aus Arbeitsbescheinigungen 
nach § 312 SGB 111 getestet werden soll, bin ich betei- 
ligt. Dabei zeigt sich, dass im Detail eine Reihe von da- 
tenschutzrechtlichen Fragen auftaucht, die noch einer 
Lösung zugeführt werden müssen: 

- Es entsteht eine Datenspeicherung auf V orrat, deren 
Vereinbarkeit mit den vom Bundesverfassungsgericht 
im Volkszählungsurteil aufgestellten verfassungs- 
rechtlichen Grundsätzen noch geprüft werden muss. 
So sind nach § 3 12 SGB III die Arbeitgeber verpflich- 
tet, bei Beendigung des Arbeitsverhältnisses alle T at- 
sachen zu bescheinigen, die für die Entscheidung über 
den Anspruch auf Arbeitslosengeld, Arbeitslosen- 
hilfe, Unterhaltsgeld oder Über gangsgeld erheblich 
sein können (Arbeitsbescheinigung). Diese Arbeits- 
bescheinigung wird daher bei jeder Beendigung eines 
Arbeitsverhältnisses ausgestellt. Aber nur ein gerin- 
ger Teil der ehemaligen Arbeitnehmer muss bei 
einem entsprechenden Antrag die Arbeitsbescheini- 
gung beim Arbeitsamt tatsächlich vorlegen. Ein gro- 
ßer Teil der in den Datenpool einfließenden Daten 
wird daher nie benötigt werden. 

— Der Bericht der Hartz-Kommission sieht in diesem 
Zusammenhang die Einführung einer einheitlichen 
Versicherungsnummer aller Sozialversicherungsträ- 
ger als sinnvoll an. Im Zusammenhang mit der Schaf- 
fung der digitalen Signaturkarte für Arbeitgeber- 
bescheinigungen ist eine solche Nummer als 
Ordnungsnummer erforderlich, um Daten einem be- 
stimmten Arbeitnehmer eindeutig zuweisen zu kön- 
nen. Dabei ist zu beachten, dass die Restriktionen bei 
der Nutzung der Sozialversicherungsnummer (§§ 18 f 
und g SGB IV) und der Krankenversichertennummer 
auf der Krankenversichertenkarte (§§ 290 und 291 
SGB V) vom Gesetzgeber aus gutem Grund geschaf- 
fen wurden. Insbesondere für die Sozialversiche- 
rungsnummer hat der Gesetzgeber ausdrücklich an- 
geordnet, dass diese nicht als Ordnungsmerkmal 
dienen soll (§ 18f Abs. 5 SGB IV). Mit den am Pilot- 
projekt beteiligten Stehen bin ich im Gespräch, um 
eine datenschutzgerechte Lösung für das Problem zu 
erreichen. 

23.3 Teilnahmebescheinigungen sind keine 
Beurteilungen 

In meinem 18. TB (Nr . 20.4) habe ich darüber berichtet, 
dass für die Beurteilungen von Leistungen und dem Verhal- 
ten Arbeitsloser bei der Durchführung von Maßnahmen, die 
das Arbeitsamt angeordnet hat, keine Rechtsgrundlage be- 
steht und dass die gefundene Einwilligungsregelung nur als 
Übergangslösung betrachtet werden kann. Durch das Gesetz 
zur Reform der arbeitsmarktpolitischen Instrumente vom 
10. Dezember 2001 (Job-AQTIV -Gesetz, BGBl. I S. 3443) 
hat der Gesetzgeber meine Hinweise zum T eil aufgegriffen 
und für Teilnehmer an einer beruflichen Weiterbildung gere- 
gelt, dass diese verpflichtet sind, „eine Beurteilung ihrer 
Leistung und ihres Verhaltens durch den Träger zuzulassen“ 
(§318 Abs. 2 Satz 1 Nr 2 SGB III). Gleichzeitig wurden die 
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Maßnahmeträger verpflichtet, ihre Beurteilungen des T eil- 
nehmers unverzüglich dem Arbe itsamt zu übermitteln. Ob- 
wohl mir die Bundesanstalt für Arbeit (BA) erst wenige 
Monate vor dem Erlass des Job-AQTIV -Gesetzes mitgeteilt 
hatte, dass im Rahmen von ArbeitsbeschafFungsmaßnahmen 
(ABM) „von den Arbeitgebern keine Zeugnisse/Beurteilun- 
gen abgegeben“ werden, da „bei ABM ... dies nicht erfor- 
derlich (sei), weil es sich um ein Arbeitsverhältnis handelt“, 
hat der Gesetzgeber die T räger oder durchführenden Unter- 
nehmen von Arbeitsbeschaf füngsmaßnahmen nach den 
§§ 260 ff. SGB 111 und von Strukturanpassungsmaßnahmen 
nach §§ 272 ff. SGB 111 verpflichtet, für die geforderten Ar- 
beitnehmer eine T eilnahmebeurteilung für das Arbeitsamt 
auszustellen (§ 261 Abs. 5, § 278 SGB III). Die hiervor ge- 
sehenen Regelungen sind allerdings deshalb unzureichend, 
weil sie lediglich den Maßnahm eträger verpflichten, eine 
Beurteilung des Teilnehmers an der Maßnahme durchzufüh- 
ren. Eine Verpflichtung des Teilnehmers, seine Leistung und 
sein Verhalten beurteilen zu lassen, besteht hier nicht. 

Nicht geregelt wurde jedoch die Beurteilung von T eilneh- 
mern an T rainingsmaßnahmen nach den §§ 48 f f. SGB 111 
und von berufsvorbereitenden Bildungsmaßnahmen nach 
den §§ 61 ff. SGB III. Auch für die Beurteilung von T eil- 
nehmem an Maßnahmen im Rahmen der Förderung behin- 
derter Menschen am Arbeitsleben nach §§ 97 f f. SGB 111 
fehlt es an einer entsprechenden Regelung. 

Insbesondere von T eilnehmern an T rainingsmaßnahmen 
nach §§ 48 ff. SGB 111 erreichen mich weiterhin eine Reihe 
von Eingaben, in denen sich Arbeitsuchende darüber be- 
klagen, dass ohne ihre Einwilligung ihre Leistung und ihr 
Verhalten von Maßnahmeträgern beurteilt und diese Beur- 
teilung dem Arbeitsamt übermittelt wurde. Mangels einer 
gesetzlichen Regelung halte ich dies weiterhin für unzuläs- 
sig, soweit nicht der Betroffene in das Verfahren ausdrück- 
lich eingewilligt hat. Die allgemeine Datenerhebungs- und 
-Verarbeitungsklausel in § 402 SGB 111, die das Bundes- 
ministerium für Arbeit und Sozialordnung (jetzt: Bundes- 
ministerium für Wirtschaft und Arbeit — BMWA) in seiner 
Stellungnahme als Ermächtigungsgrundlage heranziehen 
will, reicht wegen des weit reichenden Eingrif fs in das 
Persönlichkeitsrecht der Arbeits- bzw . Ausbildungsplatz- 
suchenden nicht aus. 

Ich hoffe daher, dass das BMWA einen Gesetzentwurf vor- 
legt, um dieses dringliche Problem zu lösen. Meine Bereit- 
schaft, an einer praktikablen Lösung mitzuwirken, habe ich 
mehrfach erklärt. 

23.4 Arbeitsvermittlung im Internet 

23.4.1 Veröffentlichung von medizinischen 
Daten im Internet 

Aufgrund von Eingaben bin ich darauf aufmerksam gewor- 
den, dass die Bundesanstalt fü r Arbeit (BA) in Einzelfällen 
Auszüge aus ärztlichen Gutachten in ihren u. a. im Internet 
abrufbaren Bewerberangeboten, dem so genannnten Arbeit- 
geber-Informations-Service (AIS), veröf fentlicht hat. Die 
Angaben über Schwerbehinde rangen oder Alkoholgefähr- 
dung der Betroffenen fanden sich hierbei im Feld „Kennt- 
nisse“. 

Um passgenaue Arbeitsplätze vermitteln zu können, sollen 
in diesem Feld des Bewerberangebots eigentlich Angaben 


über die beruflichen Kenntni sse und Fertigkeiten des Be- 
werbers eingetragen werden. Da bei der Erstellung eines 
Bewerberprofils oder der V eröffentlichung von Bewerber- 
daten im AIS programmtechnisch, d. h. automatisch auf die 
im Bewerberangebot gespeicherten Angaben zurückgegrif- 
fen wird, wurden die wohl versehentlich unter „Kenntnisse“ 
gespeicherten medizinischen Daten in den vorliegenden 
Fällen im Internet veröffentlicht. Auch wenn in das AIS nur 
anonymisierte Daten aufgenommen werden und dort inso- 
fern in aller Regel ein Pers onenbezug nicht herstellbar ist, 
können den Betroffenen dennoch erhebliche Nachteile ent- 
stehen, wenn die Eintragung von medizinischen Daten dazu 
führt, dass ihnen dadurch eine geringere Anzahl von Stel- 
lenangeboten unterbreitet wird. Außerdem wird der Perso- 
nenbezug vom Arbeitsamt immer dann hergestellt, wenn ein 
Arbeitgeber Interesse an dem Bewerberangebot bekundet 
und Kontakt zu dem Bewerber aufnehmen möchte, ln einem 
der an mich herangetragenen Fälle wurde das Bewerberpro- 
fil mit den fraglichen Daten zudem an einen Bildungsträger 
übermittelt und den Teilnehmern des dortigen Bewerbertrai- 
nings vorgelesen. 

Die geschilderte unzulässige Of fenbarang medizinischer 
Daten stellt einen gravierenden Verstoß gegen das Sozialge- 
heimnis dar. Die Eintragungen in den Bewerberangeboten 
hätten - wie auch jede korrekte Eintragung - vor einer Wei- 
tergabe oder Veröffentlichung auf ihre Aktualität und Rich- 
tigkeit hin geprüft und mit dem Betrof fenen abgestimmt 
werden müssen. Bei einer solchen Prüfung, die in den be- 
kannt gewordenen Fällen of fensichtlich unterblieben ist, 
wären die unzulässig gespeicherten Daten vermutlich aufge- 
fallen und hätten korrigiert oder gelöscht werden können. 
Die BA hat mir jedoch versichert, dass sie die Mängel sofort 
nach deren Bekanntwerden behoben hat, indem die infrage 
stehenden Daten gelöscht wurden. Um zu gewährleisten, 
dass solche Fehler in Zukunft möglichst ausgeschlossen 
werden, wurden darüber hinaus Qualitätszirkel eingerichtet, 
die die Bewerberdaten überprüfen und bei Bedarf über- 
arbeiten. Ziel dieser Zirkel ist es, die Qualität der Daten zu 
optimieren, unzulässige, fehl erhafte oder gegen daten- 
schutzrechtliche Bestimmungen verstoßende Eintragungen 
festzustellen und diese vor einer möglichen Datenübermitt- 
lung zu beheben. Darüber hinaus wurde eine Arbeitshilfe 
Qualitätsstandards des V ermittlungsprozesses erstellt, mit 
der die korrekte Erfassung der in die IT -Systeme einzuge- 
benden Daten ebenfalls nachhaltig verbessert werden soll. 
Die Landesarbeitsämter haben hierzu bereits vielfältige 
Maßnahmen mit unterschiedlichen Aktivitäten und V erbes- 
serangsansätzen - z. B. im Rahmen von Schulungen oder 
durch Analysen in den Ämtern - umgesetzt. 

Ich halte die von der Arbeitsverwaltung getrof fenen Maß- 
nahmen für geeignet, die zugrunde liegende Problematik in 
den Griff zu bekommen. Auf eine förmliche Beanstandung 
habe ich deshalb verzichtet, nicht zuletzt auch, weil die auf- 
gezeigten Mängel unverzüglich abgestellt wurden. 

23.4.2 Weiterhin Probleme bei der 
Anonymisierung! 

ln meinem 18. TB (Nr. 20.7.1) habe ich berichtet, dass die 
von den Arbeitsämtern im AIS vor genommene Anonymi- 
sierung der eingestellten Be Werberangebote nicht immer 
einwandfrei funktioniert. Dies liegt, wie ich bereits da- 
mals erläutert habe, daran, dass es systembedingt nicht 
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möglich ist, in kritischen Ei nzelfällen auf die V eröffentli- 
chung des T eils des Bewerberdatensatzes zu verzichten, 
der die Identifizierung unter bestimmten Umständen er- 
möglicht. Die Hauptstelle der BA hatte mir daher eine Re- 
gelung angekündigt, mit der sichergestellt werden sollte, 
dass Bewerberangebote auch dann datenschutzgerecht in 
den AIS eingestellt werden können, wenn allein durch 
Weglassen des Namens die Anonymisierung nicht gewähr- 
leistet ist. Eine solche Regelung wird es nach Auskunft der 
Hauptstelle nunmehr doch ni cht geben. Mir wurde ledig- 
lich zugesichert, dass in den Fällen, in denen die Anonymi- 
sierung der Daten nicht gewährleistet ist, auf W unsch des 
Betroffenen auch künftig vo n der Einstellung des Bewer- 
berdatensatzes in den AIS abgesehen wird. Diese Entwick- 
lung der Angelegenheit halte ich aus datenschutzrecht - 
licher Sicht nicht für befriedigend. Auch unter dem 
Gesichtspunkt einer effektiven Arbeitsvermittlung kann es 
nicht erstrebenswert sein, bestimmte Arbeitslose von den 
Vermittlungsmöglichkeiten, die die BA im Internet bietet, 
abzukoppeln, nur weil es sy stembedingt nicht möglich ist, 
alle Bewerberangebote datenschutzgerecht zu anonymisie- 
ren. Ich hoffe deswegen, dass die BA die bekannten Unzu- 
länglichkeiten im Rahmen de r Weiterentwicklung oder bei 
Neuentwicklungen der Inform ationstechnik berücksichti- 
gen wird, und werde die Angelegenheit spätestens dann 
wieder ins Gespräch bringen. 

23.5 Einzelfälle 

23.5.1 Unzulässige Datenerhebung bei 
einem früheren Arbeitgeber 

Ein Petent hatte bei einem Arbeitsamt einen Antrag auf Un- 
terhaltsgeld gestellt. Da dieses nicht in der ihm seiner Mei- 
nung nach zustehenden Höhe bewilligt wurde, reichte er 
Widerspruch und anschließend Klage vor dem Sozialgericht 
ein. Anlässlich des Gerichtsverfahrens holte das Arbeitsamt 
beim ehemaligen Arbeitgeber des Petenten Auskünfte zu 
dessen Gehalt ein und übermittelte diese an das Sozialge- 
richt. Diese Angaben zum Gehalt wurden nach Darstellung 
des Arbeitsamtes benötigt, da das Unterhaltsgeld im vorlie- 
genden Fall anhand eines fiktiven Bemessungsentgelts fest- 
zulegen war, dessen Höhe überprüft werden musste. Die 
Datenerhebung beim ehemaligen Arbeitgeber und die Über- 
mittlung der unzulässig erhobenen Daten an das Sozialge- 
richt habe ich wegen Verstoßes gegen § 67a Abs. 2 und § 69 
Abs. 1 Nr. 2 SGB X beanstandet. Das Arbeitsamt hätte die 
Daten - wenn überhaupt - beim Betrof fenen selbst erheben 
müssen. Die Voraussetzungen für eine Datenerhebung ohne 
Mitwirkung des Betroffenen waren allesamt nicht gegeben. 
Darüber hinaus hätte das Arbeitsamt zur Festlegung des fik- 
tiven Bemessungsentgelts das in diesem Fall ortsübliche Ar- 
beitsentgelt zugrunde legen können. Um dieses zu ermitteln, 
wäre es ausreichend gewese n, verschiedene ortsansässige 
Firmen, die vergleichbare Tätigkeiten anbieten, ohne kon- 
kreten Personenbezug zu befragen. Die Erhebung des tat- 
sächlich ehemals an den Petenten gezahlten Gehalts war zur 
Aufgabenerfüllung des Arbeitsamtes im vorliegenden Fall 
nicht erforderlich. Die Arbeitsverwaltung hat mir zugesagt, 
die unzulässig erhobenen Daten zu löschen und das Sozial- 
gericht entsprechend zu benachrichtigen. Der Direktor des 
betroffenen Arbeitsamtes hat sich bei dem Petenten ent- 
schuldigt. 


23.5.2 Umfangreiche Datenübermittlung an eine 
Krankenkasse 

Ein Ehepaar hat sich an mich gewandt, weil das Arbeitsamt, 
bei dem die Ehefrau Arbeitslosenhilfe beantragt hatte, Da- 
ten mit der Krankenkasse des Ehemanns ausgetauscht hat. 
Die meisten der aufgezeigten Datenübermittlungen waren zur 
Aufgabenerfüllung eines der beiden Sozialleistungsträger er- 
forderlich und damit zulässig (§ 69 Abs. 1 Nr . 1 SGB X). So 
hat das Arbeitsamt der Krankenkasse auf deren Anfrage un- 
ter anderem mitgeteilt, dass der Ehemann anlässlich der 
Prüfung der Bedürftigkeit seiner Frau dem Arbeitsamt ge- 
genüber angegeben habe, aus se iner selbstständigen Tätig- 
keit keinen Gewinn zu erzielen. Diese Infonnation war nach 
Darstellung der Krankenkasse zur Beurteilung der Kranken- 
geldansprüche des Ehemanns erforderlich. Das Arbeitsamt 
hat seinem Antwortschreiben allerdings zusätzliche Unter- 
lagen beigefügt, die die Krankenkasse zur Prüfung von An- 
sprüchen nicht benötigte und auch nicht erbeten hatte. Sei- 
tens der Arbeitsverwaltung wurde schließlich eingeräumt, 
dass eine Datenübermittlung in dieser Breite tatsächlich 
nicht erforderlich gewesen wäre, die Unterlagen jedoch „der 
Einfachheit halber“ beigefügt worden waren. Diese Begrün- 
dung zeigt, wie unbedacht und leichtfertig hier mit Sozial- 
daten umgegangen wurde. Nicht zuletzt weil ich in dem hier 
geschilderten Fall zum wiederholten Mal feststellen musste, 
dass ein Arbeitsamt über die Erforderlichkeit hinaus Unter- 
lagen an eine Krankenkasse überm ittelt hat, habe ich diese 
Übermittlung wegen V erstoßes gegen § 69 Abs. 1 Nr .1 
SGB X beanstandet. 

23.5.3 Erhebung und Nutzung von Daten 
zu privaten Zwecken 

Ein Mitarbeiter eines Landesarbeitsamtes nutzte seine be- 
rufliche Position, um bei einer Krankenkasse personenbezo- 
gene Daten über seine geschiedene Ehefrau einzuholen. An- 
schließend verwendete er die auf diese W eise unzulässig 
erhobenen Daten für seine privaten Zwecke, indem er den 
von der Krankenkasse erhaltene n Datenausdruck im Rah- 
men einer Unterhaltsstreitsache an ein Gericht übermittelte. 
Der Mitarbeiter, der aufgrund seiner Tätigkeit über den be- 
sonderen Schutz und die Sensibilität von Sozialdaten be- 
lehrt worden war , hat sich durch sein V erhalten bewusst 
über die ihm bekannten datenschutzrechtlichen Bestimmun- 
gen hinweggesetzt. Diesen gravierenden V erstoß gegen das 
Sozialgeheimnis habe ich beanstandet. Das Landesarbeits- 
amt hat den betrof fenen Mitarbeiter aufgrund seines Fehl- 
verhaltens in eine andere Funktion zu einer anderen Dienst- 
stelle umgesetzt und entsprechende Disziplinarmaßnahmen 
eingeleitet. 

23.5.4 Arbeitsamt übermittelt Sozialdaten 
an eine Detektei 

Ein anderer Petent hat sich an mich gewandt, nachdem er er- 
fahren hatte, dass der Rechtsanwalt seines Vermieters in ei- 
ner Streitsache in einem Schreiben an ein Gericht Daten von 
ihm angegeben hatte, die nur der BfA und dem Arbeitsamt 
hätten bekannt sein können. Der Rechtsanwalt hatte in dem 
Schreiben weiter ausgeführt, dass die Daten von einem Drit- 
ten, einer Detektei, bestätig t werden könnten. Der Petent 
vermutete daher, dass einer der beiden genannten Sozialleis- 
tungsträger dieser Detektei unbefugt Auskünfte erteilt habe. 
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Nachdem sowohl die Bundesanstalt für Arbeit (BA) als 
auch die BfA von mir um Stellungnahme zu der Angelegen- 
heit gebeten worden waren, st eilte sich heraus, dass die in 
dem Schreiben des Rechtsanwalts aufgeführten Leistungs- 
zeiträume mit den im Arbeitsamt über den Petenten gespei- 
cherten Sozialdaten identisch waren. Eine Befragung der 
Mitarbeiter des Arbeitsamtes, die Zugrif f auf die gespei- 
cherten Daten hatten, er gab erwartungsgemäß keine weite- 
ren Aufschlüsse. Dennoch ging auch die BA bei Betrach- 
tung der Gesamtzusammenhänge davon aus, dass die 
Sozialdaten von einem Mitarbeiter des Arbeitsamtes of fen- 
bart worden waren. Obwohl datenschutzrechtliche W eisun- 
gen der BA ausdrücklich vorsehen, dass vor der telefoni- 
schen Übermittlung schutzwürdiger Daten die Identität des 
Anrufers zu prüfen ist, wurde dies im vorliegenden Fall of- 
fensichtlich nicht beachtet. Auch diesen Verstoß gegen das 
Sozialgeheimnis habe ich daher beanstandet, ln ihrer Stel- 
lungnahme hat die BA erklärt, da ss es gerade in letzter Zeit 
häufiger vorkomme, dass sich Beauftragte von Inkassoun- 
ternehmen oder Auskunfteien telefonisch als Mitarbeiter an- 
derer Behörden ausgeben und versuchen, auf diesem W eg 
unberechtigt Auskünfte über Kunden des Arbeitsamtes zu 
erhalten. Die BA hat mir daher zugesagt, den geschilderten 
Fall zum Anlass zu nehmen, die Mitarbeiter aller Dienststel- 
len nochmals für die Problematik unberechtigter Auskunfts- 
ersuchen zu sensibilisieren. 

Im Rahmen dieser Eingabe wurde ich auch darauf auf- 
merksam, dass lesende Zugriffe auf gespeicherte Daten in 
der Arbeitsverwaltung nicht protokolliert werden. Dies 
halte ich aus datenschutzrechtlicher Sicht für unbefriedi- 
gend. Jeder lesende Zugriff bietet grundsätzlich die Mög- 
lichkeit und birgt damit — wie der vorliegende Fall zeigt — 
auch die Gefahr, dass sensible Sozialdaten unzulässig of- 
fenbart werden. Auch ein lesender Zugrif f auf IT-Systeme 
ist immer nur dann zulässig, wenn dies im jeweiligen Ein- 
zelfall zur Aufgabenerfüllung erforderlich ist. Ich habe der 
BA daher dringend empfohlen, auch die lesenden Zugriffe 
auf die IT -Systeme zu protokollieren. Nicht zuletzt die 
Kenntnis der Mitarbeiter über eine solche Protokollierung 
würde die Sensibilität im Umgang mit den gespeicherten 
Sozialdaten sicherlich erhöhen. Die BA teilt zwar meine 
Auffassung, dass die Protokollierung lesender Zugriffe aus 
datenschutzrechtlicher Sicht ein nicht zu vernachlässigen- 
des Instrument ist, will aber dennoch weiterhin darauf ver- 
zichten, weil der hierfür erforderliche Aufwand ihrer Mei- 
nung nach in keinem vertretbaren V erhältnis zu dem 
möglichen Sicherheitsgewinn steht. Die Ablehnung dieser 
zusätzlichen Sicherheitsmaßnahme wird insbesondere da- 
mit begründet, dass die in den Arbeitsämtern eingesetzten 
IT-Systeme, deren Lebe nszyklus zu Ende gehe, nur be- 
grenzte Speicherkapazität aufweisen und eine Protokollie- 
rung daher nicht leisten könnten. Erst bei künftigen Neu- 
entwicklungen ist man seitens der Arbeitsverwaltung 
bereit, meine Forderung erneut zu prüfen. Ich habe die BA 
daher gebeten, mir mitzuteilen, in welchem Zeitrahmen 
mit der Einführung der Protokollierung zu rechnen ist. Un- 
abhängig davon erwarte ich auch eine Stellungnahme zu 
der Frage, warum nicht bereits jetzt im Rahmen der vor- 
handenen Möglichkeiten statt einer Gesamt- zumindest 
schon eine Blockprotokollierung eingeführt wird. Diese 
dürfte auch angesichts begrenzter Speicherkapazitäten 
durchführbar sein. 


23.5.5 Unzulässige Datenübermittlung 

Eine Petentin hatte bei eine m Landesarbeitsamt einen An- 
trag auf Erlaubnis zur gewerbsmäßigen Arbeitnehmerüber- 
lassung gestellt. 

Die Arbeitsverwaltung informierte daraufhin die Stadtver- 
waltung (Ordnungsamt), bei der die Petentin damals als 
Mitarbeiterin tätig war, über diesen Antrag. Dies war für die 
Aufgabenerfüllung des Arbeit samtes nicht erforderlich. 
Auch für eine Überlassung dieser Infonnation an die Stadt- 
verwaltung als Arbeitgeberin der Petentin fehlte jede 
Rechtsgrundlage. 

Außerdem wurden dem Ehemann der Petentin im Rahmen 
einer Einsicht in seine bei der Arbeitsverwaltung geführten 
Akten unzulässigerweise da rin aufgenommene Angaben 
zum Antrag der Petentin auf Erlaubnis zur gewerbsmäßigen 
Arbeitnehmerüberlassung zur Kenntnis gegeben. 

Diese Verstöße gegen das Sozialgeheimnis habe ich wegen 
Verstoßes gegen § 35 SGB I i. V m. § 67d SGB X beanstan- 
det. 

24 Krankenversicherung, 

Pflegeversicherung 

24.1 Krankenversicherung 

24.1.1 Gesundheitsreform: Der Datenschutz 
bleibt am Ball! 

In der 14. Legislaturperiode habe ich mich in besonderem 
Maße mit Gesetzgebungsvorhaben im Bereich der Gesund- 
heitsreform befasst. Leider enthält das am 1 . Januar 2000 in 
Kraft getretene GKV -Gesundheitsreformgesetz 2000 
(BGBl. 1 1999 S. 2626) die im Laufe des Gesetzgebungsver- 
fahrens auf Initiative der Datenschutzbeauftragten des Bun- 
des und der Länder aufgenommenen datenschutzrechtlichen 
Verbesserungen im Abrechnungssystem der Krankenkassen 
nicht mehr. Der vom Deutschen Bundestag ursprünglich be- 
schlossene Gesetzentwurf hatte vorgesehen, dass die Kran- 
kenkassen künftig zwar über die vollständigen Abrech- 
nungsdaten aller Leistungserbri nger, also auch der Ärzte 
und Zahnärzte, für alle Versicherten verfügen können; ande- 
rerseits war aber festgelegt, dass die Leistungsabrechnungs- 
daten den Kr ankenkassen nur noch pseudonymisiert über- 
mittelt werden sollten (vgl. 18. TB Nr. 21.1). 

Nachfolgend, und zwar im Laufe des Jahres 2001 hat das 
Bundesministerium für Gesundheit V orstellungen für ein 
Gesetz zur Verbesserung der Datentransparenz entwickelt. 
Die Datenschutzbeauftragten des Bundes und der Länder 
haben sich im März 2001 hierzu umfassend geäußert (s. An- 
lage 13). Sie begrüßten ausdrücklich, dass mit dem Arbeits- 
entwurf ihre Forderung wieder aufgegrif fen werden sollte, 
durch Pseudonymisierung des Abrechnungsverfahrens die 
Belange des Patientengeheimnisses und des Datenschutzes 
zu wahren. Der Entwurf fiel allerdings gegenüber dem Ent- 
wurf des Jahres 1999 zurück; nunmehr sollte nämlich die 
Pseudonymisierung der Abrechnungsdaten erst nach Durch- 
führung der Abrechnung aller nich tvertragsärztlichen Leis- 
tungen durchgeführt werden. Das Bundesministerium für 
Gesundheit hat den Arbeitsentwurf letztlich nicht weiterver- 
folgt. 

Anfang des Jahres 2002 wurde das Bundesministerium für 
Gesundheit nochmals aktiv . Es präsentierte als Minimal- 
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lösung gegenüber den ursprünglichen Vorhaben seine Über- 
legungen zur Schaf füng eines Datenpools für Steuerungs- 
aufgaben der gesetzlichen Krankenversicherung. Nunmehr 
soll die derzeitige Rechtslage zur Leistungsabrechnung in 
der gesetzlichen Krankenvers icherung beibehalten - damit 
wird die aus datenschutzrechtlicher Sicht zu begrüßende 
Pseudonymisierung des Abrechnungsverfahrens nicht mehr 
weiter verfolgt - und zusätzli eh ein Datenpool geschaf fen 
werden, um Auswertungen fü r die Gesundheitspolitik und 
für weitere, noch zu definierende Zwecke zu ermöglichen. 
Hierfür sollen Daten der V ersicherten und der Leistungser- 
bringer in pseudonymisierter Form zusammengeführt und 
ausgewertet werden können. Die Datenschutzbeauftragten 
des Bundes und der Länder haben zu diesem Vorhaben aus- 
führlich und grundsätzlich Stellung genommen und die 
datenschutzrechtlichen Anforderungen an einen solchen 
Datenpool dargelegt. So muss insbesondere eine Reidenti- 
fizierung der V ersicherten- und Leistungserbringerdaten 
ausgeschlossen sein. Dies setzt voraus, dass ein sicheres 
Pseudonymisierungsverfahren eingesetzt, der Umfang der 
Datenübermittlung begrenzt und das Reidentifizierungs- 
risiko minimiert wird, indem u. a. nur aggregierte Auswer- 
tungen zugelassen werden. Ein Zugrif f auf einzelne Daten- 
sätze ist ebenfalls auszuschließen. Auch müssen die Zwecke 
der Datenaufbereitung ebenso wie die Frage, welche Daten 
in welchem Umfang erhoben und übermittelt werden und 
wer Zugriff auf die Daten bekommt, abschließend gesetz- 
lich festgelegt sein. 

Ich werde den Fortgang der Überlegungen zu diesem Daten- 
pool kritisch begleiten und mich konstruktiv in die weiteren 
Vorbereitungen einschalten, um die Berücksichtigung der 
datenschutzrechtlichen Belange der V ersicherten und der 
Leistungserbringer sicher zu stellen. 

24.1.2 Disease-Management-Programme (DMP): 

Wer kontrolliert die chronisch Kranken? 

Der seit dem 1. Januar 1994 be stehende Risikostrukturaus- 
gleich soll unterschiedlichen historisch gewachsenen Risi- 
kostrukturen Rechnung tragen, die sich insbesondere durch 
die unterschiedliche Verteilung der Versicherten nach Alter, 
Geschlecht, Berufs- und Erwerbsfähigkeits-Status sowie 
durch die Unterschiede in der Zahl der beitragsfrei mitversi- 
cherten Familienangehörigen ergeben. Hierbei wurde bisher 
die besonders kostenaufwendige Versorgung einzelner Ver- 
sicherter, insbesondere chronisch Kranker, nicht berücksich- 
tigt, sodass sich dies geradezu wettbewerbsnachteilig für die 
Krankenkassen auswirkte. 

Um die finanzielle Belastung der Krankenkassen durch sol- 
che Versicherte, für die Aufwendungen erheblich über dem 
Durchschnitt der Standardausgaben im Risikostrukturaus- 
gleich entstehen, zumindest te ilweise solidarisch zu finan- 
zieren, wird ein Risikopool aufgebaut. Hierbei sollen die 
Aufwendungen pro Versicherten für die stationäre V ersor- 
gung, die Arzneimittelversorgung, die nichtärztlichen Kos- 
ten der ambulanten Dialyse und das Kranken- und Sterbe- 
geld, die über einem bestimmten Schwellenwert im Jahr 
hegen, teilweise ausgeglichen werden. Diese Aufwendun- 
gen können ermittelt werden, ohne dass personenbezogene 
Daten erhoben werden müssen; die Daten sind bei den be- 
teiligten Stellen bereits vorhanden. Im Risikopool selbst 
sind die Daten nicht versichertenbezogen. Insofern ist dieser 


Aspekt des Risikostrukturausg leichs datenschutzrechtlich 
unbedenklich. 

Darüber hinaus sind jetzt alle rdings erstmals Disease-Ma- 
nagement-Programme (DMP) zur Behandlung chronisch 
Kranker für bestimmte durch einen Koordinierungsaus- 
schuss festgelegte chronische Krankheiten entwickelt wor- 
den. Mit dem In-Kraft-Treten der §§ 137f und g SGB V am 
1 . Januar 2002 (BGBl. I 2001 S. 3465) hat der Gesetzgeber 
die Einführung dieser DMP dem Grunde nach festgelegt 
und dabei bereits die wesentliche Grundsatzentscheidung 
getroffen, wonach den Krankenkassen für diese DMP versi- 
chertenbezogene Daten zu über mittein sind, ln diesem Zu- 
sammenhang habe ich gemeinsam mit den Datenschutz- 
beauftragten der Länder großen Wert darauf gelegt, dass die 
versichertenbezogene Datenübermittlung an die Kranken- 
kassen nur in den Fällen zulässig ist, in denen ein Versicher- 
ter freiwillig an einem solchen Programm teilnimmt, also 
ausdrücklich nach umfassender Information einwilligt, dass 
seine Daten - zweckgebunden versteht sich - weitergegeben 
werden dürfen. 

Die Einzelheiten der Erhebung , Verarbeitung und Nutzung 
dieser Daten hat das Bundesministerium für Gesundheit in 
einer Rechtsverordnung gern. § 266 Abs. 7 SGB V (BGBl. 1 
2002 S. 2286) festgelegt. Im Rahmen dieser Rechtsverord- 
nung hat ein Koordinierungsausschuss aus V ertretem der 
Leistungsträger und Leistungserbringer vier geeignete chro- 
nische Krankheiten festgelegt (Brustkrebs, Coronare 
Herzkrankheit, Diabetes, chronisch-obstruktive Atmungs- 
erkrankungen), für die teilweise inzwischen strukturierte 
Behandlungsprogramme aus medizinischer Sicht entwickelt 
worden sind. 

Bei der datenschutzrechtlichen Bewertung dieser ärztlicher- 
seits festgelegten Programme musste zwar von der Rege- 
lung des SGB V ausgegangen werden, wonach es dem 
Grunde nach zulässig ist, dass die Krankenkassen versicher- 
tenbezogene Daten erheben und speichern, und zwar auch 
über ärztliche Leistungen für die festgelegten Zwecke der 
DMP, andererseits ist es mir unter Mitwirkung der Landes- 
beauftragten für den Datens chutz gelungen, das Bundesmi- 
nisterium für Gesundheit davon zu überzeugen, den Umfang 
der Daten zu begrenzen, und eine weitgehende Pseudonymi- 
sierung des Versichertenbezuges durch die Einschaltung der 
Kassenärztlichen Vereinigungen im Rahmen einer Arbeits- 
gemeinschaft vorzusehen. Für den Fall, dass die struktu- 
rierten Behandlungsprogramme ohne Beteiligung der Kas- 
senärztlichen Vereinigung durchgeführt werden und die 
Krankenkasse somit alle Daten unmittelbar erhält, ist es ge- 
lungen, die Selbstbestimmung des Patienten zu stärken, in- 
dem dieser in jede einzelne Übermittlung seiner Gesund- 
heitsdaten gesondert schriftlich einwilligen muss, wenn sie 
vom Leistungserbringer an die Krankenkasse unmittelbar 
erfolgt. Dadurch wird sichergestellt, dass neben der Freiwil- 
ligkeit der Teilnahme an dem strukturierten Behandlungs- 
programm insgesamt der Betroffene zusätzlich durch seinen 
Arzt über die Weitergabe seiner sensiblen Patientendaten je- 
weils unmittelbar zuvor inform iert wird und somit erneut 
die Gelegenheit hat, dieser W eitergabe im Einzelfall zu wi- 
dersprechen. 

Die Risikostrukturausgleichsverordnung ist zum 1 . Juli 
2002 in Kraft getreten. Durch den Abschluss von V ertrügen 
zwischen den Kassenärztlichen V ereinigungen und den 
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Kr ankenkassen ist es jedoch bisher nicht zu einer unmit- 
telbaren Weitergabe von Daten an eine Krankenkasse im 
Rahmen dieses DMP gekommen, sodass voraussichtlich da- 
durch in der Praxis die datenschutzfreundlichere Fallgestal- 
tung zur Anwendung gelangen wird. 

Auch bei der Freiwilligkeit der Teilnahme an den Behand- 
lungsprogrammen und der informierten Einwilligung der 
Patienten in die Weitergabe ihrer sensiblen Daten bleibt aus 
datenschutzrechtlicher Sicht ein gewisses Unbehagen. Diese 
vom Gesetzgeber (auch im SG B X) genannte Freiwilligkeit 
steht in einem gewissen Spannungsverhältnis zu den übri- 
gen gesetzlichen Regelungen, die - insbesondere in der Ge- 
setzlichen Krankenversicherung als Pflichtversicherung - 
auf den Schutz des Betroffenen abzielen; es stellt sich daher 
die Frage, ob die Einwilligung generell geeignet ist, den ge- 
setzlichen Schutzzweck „auszuhebeln“, da der Patient nur 
die „Wahl“ hat, „mitzumachen“ oder „auszusteigen“. Es ist 
somit notwendig, die Durchführung der DMP durch die 
Kr ankenkassen sorgfältig zu beobachten und ggf. vor Ort zu 
kontrollieren. 

24.1.3 Neue Modellvorhaben - aber nur 
datenschutzkonform 

Am 2 1 . August 2002 hat der Bundestag mit Zustimmung 
des Bundesrates das Gesetz zur Änderung des Apotheken- 
gesetzes (BGBl. 1 2002 S. 3352) beschlossen. Durch Arti- 
kel 3 dieses Gesetzes wurde in § 63 SGB V eine Rechts- 
grundlage für Modellvorhaben geschaffen, mit denen der 
Einsatz moderner Infonnationstechnologien im Gesund- 
heitswesen (Telematik) erprobt werden kann. Diese Modell- 
projekte, mit denen z. B. die Erprobung einer elektronischen 
Gesundheitskarte (vgl. Nr . 28.3) oder des elektronischen 
Rezepts (vgl. Nr. 28.2) möglich wird, sollen zugleich auch 
die Qualität der medizinisc hen Versorgung verbessern und 
einen Beitrag zur Erhöhung der Wirtschaftlichkeit leisten. 

Die Durchführung derartiger Modellprojekte erfordert - ab- 
hängig von der jeweiligen funktionalen und inhaltlichen 
Ausgestaltung und Zwecksetzung des Projekts - eine inhalt- 
lich erweiterte Erhebung, Verarbeitung und Nutzung perso- 
nenbezogener Daten. Dazu muss von mehreren datenschutz- 
rechtlichen Regelungen des Zehnten Kapitels des SGB V 
abgewichen werden, beispielsweise für die Erprobung einer 
Patientenchipkarte auf Basis der bisherigen V ersicherten- 
karte von § 291 SGB V. 

Bei der Vorbereitung des Gesetzentwurfs habe ich nach Ab- 
stimmung mit den Landesbeauftragten für den Datenschutz 
dem Bundesministerium für Gesundheit (BMG) Hinweise 
zum Datenschutz gegeben und die weitere Entwicklung des 
Vorhabens intensiv begleitet. Auf diese W eise konnte mit 
dem BMG eine Regelung abge stimmt werden, die im W e- 
sentlichen den datenschutzr echtlichen Anforderungen ge- 
nügt und dem Grundgedanken der freiwilligen, informierten 
und schriftlichen Einwilli gung mit W iderrufsvorbehalt 
Rechnung trägt. 

Dabei konnte ich insbesondere erreichen, dass die folgenden 
Kernpunkte aufgenommen wurden: 

— Erfordernis einer schriftlichen, widerrufbaren Einwilli- 
gung der Versicherten, die auf den für das jeweilige Mo- 
dellvorhaben erforderlichen Umfang der Abweichung 


von den datenschutzrechtlichen V orgaben des Zehnten 
Kapitels des SGB V zu begrenzen ist; 

- vorherige schriftliche Unterrichtung der Versicherten, in 
welchem Umfang von den datenschutzrechtlichen V or- 
gaben des Zehnten Kapitels des SGB V abgewichen 
wird und aus welchen Gründen dies erforderlich ist; 

- die Einwilligung ist auf Zweck, Inhalt, Art, Umfang und 
Dauer der Erhebung, Verarbeitung und Nutzung der Da- 
ten des Betroffenen sowie der daran Beteiligten zu er- 
strecken; 

- Erweiterungen der Krankenvers ichertenkarte, mit denen 
von den datenschutzrechtlichen Vorgaben in § 29 1 SGB V 
abgewichen wird, sind nur zulässig, wenn die zusätz- 
lichen Daten informations technisch von den in § 291 
Abs. 2 SGB V genannten Daten getrennt werden; 

- entsprechende Geltung des § 6c BDSG beim Einsatz 
mobiler Speichermedien, wonach umfassende Unterrich- 
tungspflichten gegenüber dem Betrof fenen vorgeschrie- 
ben sind; 

- unverzügliche Löschung der personenbezogenen Daten, 
die in Abweichung von den datenschutzrechtlichen V or- 
schriften des Zehnten Kapitels des SGB V erhoben, ver- 
arbeitet und genutzt worden sind, nach Abschluss des 
Modellversuchs; 

- rechtzeitige Benachrichtigung des Bundesbeauftragten 
für den Datenschutz oder der Landesbeauftragten für den 
Datenschutz - soweit zuständig - vor Beginn des Mo- 
dellvorhabens. 

Bedauerlicherweise wurden meine Vorschläge für eine Re- 
gelung, die es dem V ersicherten ermöglicht hätte, über die 
Verwendung seiner Daten im Einzelfall zu entscheiden, 
nicht aufgegriffen. Allerdings wurde meinem Vorschlag ent- 
sprochen, dass im Rahmen der Modellprojekte zur Erpro- 
bung einer elektronischen Gesundheitskarte auch solche 
Modellvorhaben erprobt werde n, in denen der V ersicherte 
über die Verwendung seiner Daten im Einzelfall entschei- 
den kann oder in denen ihm die Möglichkeit gegeben wird, 
einzelne ärztliche Fachbereiche (z. B. Psychiatrie, Gynäko- 
logie, Haut- und Geschlechtskrankheiten) vom allgemeinen 
Zugriff auszuschließen. Des Weiteren wird nach der Geset- 
zesbegründung (Bundestagsdrucksache 14/8930) mit dieser 
neu geschaffenen Regelung noch keine V orentscheidung 
hinsichtlich einer „flächendeckenden“ Einführung einer 
elektronischen Gesundheitskalte getroffen. Die Regelungen 
für Modellvorhaben greifen damit einer möglichen späteren 
Einführung einer elektronischen Gesundheitskalte nicht vor. 
Bei dieser ist dann sicherzustellen, dass die freie und unbe- 
einflusste Entscheidung der V ersicherten über Einsatz und 
Verwendung der Karte gewährleistet wird. Hierfür werde 
ich mich intensiv einsetzen. 

24.1.4 Anforderung von Krankenhaus- 
entlassungsberichten durch Kranken- 
kassen - geht ein Dauerstreit zu Ende? 

ln meinem 18. TB (Nr. 21.3) habe ich ausführlich meine Auf- 
fassung zur Befugnis der Krankenkassen, von Krankenhäu- 
sern Krankenhausentlassungsberichte anzufordem, dargelegt. 
Diese Auffassung wurde nun durch das Urteil des Bundesso- 
zialgerichts vom 23. Juli 2002 — B 3 KR 64/01 R — bestätigt, 
ln diesem legt das Gericht dar, dass die Krankenkassen nicht 
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aus eigenem Recht Einsicht inBehandlungsunterlagen verlan- 
gen können, sondern insoweit auf ein Tätigwerden des Medi- 
zinischen Dienstes der Krankenkassen (MDK) angewiesen 
sind, ln § 301 SGB V sei aus datenschutzrechtlichen Gründen 
abschließend aufgezählt, welc he Angaben den Krankenkas- 
sen bei einer Krankenhausbeh andlung ihrer Versicherten zu 
übermitteln sind. Behandlungsdaten der V ersicherten gehör- 
ten nicht hierzu. Für die Kra nkenkassen sei es zur Erfüllung 
ihrer Aufgaben auch nicht erforderlich, in die Behandlungsun- 
terlagen der Versicherten Einsicht zu nehmen. Bei Zweifeln 
an der sachlich-rechnerischen Richtigkeit einer Krankenhaus- 
abrechnung habe die Krankenkasse nach § 275 Abs. 1 Satz 1 
SGB V eine gutachterliche Stellungnahme des MDK einzuho- 
len. Der MDK sei im Falle einer Abrechnungsprüfung er- 
mächtigt, die erforderlichen Sozialdaten bei den Krankenhäu- 
sern anzufordem. Gleichzeitig sei der MDK verpflichtet, der 
Krankenkasse das Ergebnis der Begutachtung sowie die erfor- 
derlichen Angaben über den Befund mitzuteilen. 

Damit stellt das Bundessozialgericht klar, dass es allein Auf- 
gabe des MDK ist, medizinischeUnterlagen für die sachlich- 
rechnerische Prüfung der Abrechnung eines Krankenhauses 
zu beurteilen, und nur der MDK in Behandlungsunterlagen 
von Versicherten Einsicht nehmen darf. Das Einholen einer 
Einwilligungserkläiung des V ersicherten zur Übermittlung 
von Behandlungsunterlagen - wie von einigen Krankenkas- 
sen praktiziert - steht ei ne Umgehung der abschließenden 
Regelung des § 301 SGB V sowie der gesetzlichen Regelung 
dar, dass allein der MDK für die Prüfung medizinischer 
Sachverhalte zuständig ist. Forderungen der Krankenkassen 
an Krankenhäuser und Ärzte, be i Vorhegen einer Einwilli- 
gungserklärung des Versicherten die Behandlungsunterlagen 
an die Krankenkasse zu über mittein, halte ich aus diesem 
Grund für rechtlich nicht gedeckt und damit für unzulässig. 

Ich werde bei Beratungen und Kontrollen von Krankenkas- 
sen weiterhin meine im 18. TB (Nr 21.3) dargelegte Rechts- 
auffassung vertreten. Hierauf habe ich auch die Spitzenver- 
bände der Krankenkassen hi ngewiesen und gebeten, ihre 
Mitgliedskassen entsprechend zu unterrichten. 

24.1.5 Wozu braucht ein Untersuchungslabor 
personenbezogene Daten? 

Sind im Rahmen einer ärztli chen Behandlung labormedizini- 
sche Untersuchungen (z. B. von Blut, Urin und anderem Kör- 
permaterial) erforderlich, schaltet der behandelnde Arzt hier- 
für regelmäßig ein medizinisc hes Labor ein. Zusammen mit 
dem Untersuchungsauftrag an das Labor werden auch die ge- 
naue Diagnose oder Verdachtsdiagnose und/oder wichtige Be- 
funde angegeben. Nach erfolgter Untersuchung werden diese 
Daten mit den Untersuchungser gebnissen zusammengeführt 
und gespeichert, ln Großlaboren, die sich aufgrund des zuneh- 
menden Konzentrationsprozesses in diesem Bereich gebildet 
haben, erfolgen diese Untersuchungen mit Computer gestütz- 
ten Analyseautomaten innerhalb kürzester Zeit. Laboratorien 
mit über 400 000 Fällen pro Ja hr sind keine Seltenheit mehr 
und die größten Labors rechnen jährlich zwei bis vier Millio- 
nen Fälle ab. Bei einer solchen Menge von Patientendaten in 
privaten Datenbanken handelt es sich um eine aus daten- 
schutzrechtlicher Sicht proble matische Entwicklung für das 
Recht auf informationelle Selbstbestimmung der Betroffenen. 

Vor diesem Hintergrund habe ich die Kassenärztliche Bun- 
desvereinigung (KBV) und die Bundesärztekammer (BÄK) 


um Prüfung eines besseren Da tenschutzes der Versicherten 
bei laborärztlichen Untersuchungen gebeten, damit eine Of- 
fenlegung der Identität der jewe iligen Versicherten vermie- 
den wird. Hierzu habe ich in Absprache mit den Landesbe- 
auftragten für den Datenschutz vor geschlagen, auf die 
Angabe der Stammdaten der Versicherten zu verzichten und 
Laborüberweisungen nur noch mithilfe von Nummemcodes 
vorzunehmen. Für Laboruntersuchungen, bei denen die Pro- 
ben vom behandelnden Arzt eingesandt werden und die Un- 
tersuchungsergebnisse an diesen zurückgehen, sind m.E. die 
Namen der jeweiligen Versicherten nicht erforderlich. Das 
Labor, soweit es selbst die Laborleistungen mit der Kranken- 
kasse abrechnet, benötigt hierfür lediglich die Krankenversi- 
chertennummer und die Kr ankenkasse des Versicherten. Al- 
lerdings dürfte es aus medizinischen Gründen erforderlich 
sein, dem Laborarzt auch das Geschlecht und das Alter des 
Patienten mitzuteilen. Eine Umstellung auf ein solches Ver- 
fahren wäre m. E. ohne größeren Aufwand möglich, zumal 
die vertraglich festgelegten Abrechnungswege bestehen blei- 
ben könnten. Auch gibt es bereits Erfahrungen mit entspre- 
chenden Verfahren. So beauftragen einige staatliche Gesund- 
heitsämter private Labore mit der Untersuchung codierter 
bzw. pseudonymisierter Proben. Auch gibt es Laborgemein- 
schaften, denen die zu untersuchenden Proben codiert über- 
sandt werden. Die Sicherheit vor einer \6rwechslung codier- 
ter Proben hängt dabei von der technischen Ausgestaltung 
und der Zuverlässigkeit des Codierungsverfahrens ab. 

Die Gespräche mit der KBV und der BÄK dauern noch an. 

24.2 Pflegeversicherung 

24.2.1 Gemeinsame Verarbeitung und Nutzung 
personenbezogener Daten durch 
Krankenkassen und Pflegekassen 

Mit der Umsetzung des § 96 SGB XI, der die Rahmenbedin- 
gungen für die gemeinsame Verarbeitung und Nutzung per- 
sonenbezogener Daten durch Krankenkassen und Pflege- 
kassen festlegt, habe ich mich bereits mehrfach befasst (vgl. 
16. TB Nr. 24.1, 17. TB Nr. 24.1, 18. TB Nr. 24.1.2). 

Da eine Präzisierung der von den Krankenkassen und Pfle- 
gekassen gemeinsam zu ve rarbeitenden und zu nutzenden 
Daten nicht gelungen ist, habe ich eine Änderung des § 96 
SGB XI vor geschlagen; hiernach dürfen die nach § 46 
Abs. 1 SGB XI verbundenen Pflege- und Krankenkassen 
personenbezogene Daten, die zur Erfüllung gesetzlicher 
Aufgaben jeder Stelle erforderlich sind, gemeinsam verar- 
beiten und nutzen. Diese Regelung ist auf meinen Vorschlag 
hin in den Entwurf eines Gesetzes zur Qualitätssicherung 
und zur Stärkung des Verbraucherschutzes in der Pflege auf- 
genommen worden. Das Gesetz ist am 1. Januar 2002 
(BGBl. I 2001 S. 2320) in Kraft getreten. 

Mit dieser Gesetzesänderung ist ein praktikabler und auch 
datenschutzgerechter Gesetzesvollzug in diesem Bereich er- 
reicht worden. 

24.2.2 Pflegedokumentation: Müssen Pflege- 
bedürftige ihrer Krankenkasse besonders 
intime Daten offen legen? 

Mehrere Anfragen von Pflegediensten waren für mich An- 
lass, zu der Problematik der Einsichtsrechte in die Pflegedo- 
kumentation von Pflegebedürftigen Stellung zu nehmen. 



Drucksache 15/888 


- 138 - 


Deutscher Bundestag - 15. Wahlperiode 


Vor dem Hinter grund meiner Ausführungen zum Thema 
.Anforderung von Krankenhausentlassungsberichten durch 
Krankenkassen“ (vgl. 18. TB Nr. 21.3), die zwischenzeitlich 
vom Bundessozialgericht in seinem Urteil vom 23. Juli 
2002 - Az.: B3 KR 64/01 R - umfassend bestätigt wurden 
(vgl. dazu Nr. 24.1.4), ist aus datenschutzrechtlicher Sicht 
auch bei den Einsichtsrechten der Pflegekassen in die Pfle- 
gedokumentation von Pflegebedürftigen eine entsprechende 
Anwendung der hierzu entwickelten Grundsätze angezeigt. 

Zweck und Aufgabe der Pflegedokumentation ist es, die 
ordnungsgemäße Durchführung der Pflege zu gewährleis- 
ten. Die Pflegedokumentation enth ält alle pflegerelevanten 
Daten über den Pflegebedürftigen, wie z. B. Anamnese- und 
Diagnosedaten oder Angaben zur Pflegeplanung (Ziele, 
Verlauf und Ergebnisse der Pflege), ln der häuslichen Pflege 
werden Eintragungen vom Pflegebedürftigen selbst sowie 
von allen an der Pflege Beteiligten (Angehörigen, Pflege- 
kräften, aber auch von Haus- und Notärzten) vorgenommen. 
Sie ist Eigentum des Pflegedienstes und verbleibt während 
der Pflege grundsätzlich beim Pflegebedürftigen. Nach Be- 
endigung der Pflege wird die Pflegedokumentation für ei- 
nen Zeitraum von fünf Jahren beim Pflegedienst aufbewahrt 
und dann ordnungsgemäß vernichtet. Dieses Verfahren wird 
vom Verband der Angestelltenkrankenkassen in einem 
„Beispiel für einen V ertrag über ambulante pflegerische 
Versorgung“ empfohlen. 

Eine gesetzliche Grundlage für die Führung von Pflegedo- 
kumentationen ist dem SGB XI nicht zu entnehmen. Die 
Verpflichtung hierfür er gibt sich insgesamt aus den Rah- 
menverträgen über die ambulante pflegerische V ersorgung 
nach § 75 SGB XI, die auf Landesebene geschlossen wer- 
den. Auch die „gemeinsamen Grundsätze und Maßstäbe zur 
Qualität und Qualitätssicherung einschließlich des V erfah- 
rens zur Durchführung von Qualitätsprüfungen nach § 80 
SGB XI“ vom 31. Mai 1996 sehen in § 14 die Führung einer 
Pflegedokumentation vor. 

Gegen die Führung der Pflegedokumentation in der dar ge- 
stellten Form ist aus datenschutzrechtlicher Sicht grundsätz- 
lich nichts einzuwenden. Sie ist mit den Aufzeichnungen 
der stationären Pflegeeinrichtungen bzw . auch mit Auf- 
zeichnungen vergleichbar, wie sie üblicherweise bei der sta- 
tionären Behandlung im Krankenhaus erfolgen. 

Von der Führung der grundsätzlich beim Pflegebedürftigen 
aufzubewahrenden Pflegedokumentation ist jedoch die Zu- 
lässigkeit ihrer Nutzung im Einzelfall zu unterscheiden. Für 
welche Zwecke die Pflegekass en personenbezogene Daten 
erheben dürfen, ist in § 94 Abs. 1 SGB XI abschließend ge- 
regelt. Die V orschrift korrespondiert insoweit mit § 284 
SGB V für die gesetzliche Kr ankenversicherung. Zu ande- 
ren Zwecken dürfen die erhobenen und gespeicherten Sozi- 
aldaten nur verarbeitet oder genutzt werden, soweit dies 
durch Rechtsvorschriften des Sozialgesetzbuches angeord- 
net oder erlaubt ist (§ 94 Abs. 2 Satz 1 SGB XI). 

Danach könnte eine Nutzung der Pflegedokumentation 
durch die Pflegekasse als Abrechnungsunterlage (§§84 bis 
91 und 105 SGB XI) oder als Unterlage für die Überwa- 
chung der W irtschaftlichkeit und Qualität der Leistungser- 
bringung (§§ 79, 80 ff., 112 bis 115, 117 und 118 SGB XI) 
zulässig sein. 

Die an der Pflegeversor gung teilnehmenden Leistungser- 
bringer sind im Zusammenhang mit der Abrechnung der 


pflegerischen Leistungen verpflichtet, in Abrechnungsun- 
terlagen die von ihnen erbrac hten Leistungen nach Art, 
Menge und Preis einschließlich des T ages und der Zeit der 
Leistungserbringung aufzuzeichnen, ihr Kennzeichen sowie 
die Versichertennummer des Pflegebedürftigen anzugeben 
und bei der Abrechnung über die Abgabe von Hilfsmitteln 
die Bezeichnungen des Hilfsmittelverzeichnisses nach § 78 
SGB XI zu verwenden (vgl. § 105 SGB XI). Dabei wird das 
Nähere über Form und Inhalt der Abrechnungsunterlagen 
von den Spitzenverbänden der Pflegekassen im Einverneh- 
men mit den V erbänden der Le istungserbringer festgelegt. 
§ 106 SGB XI eröffnet die Möglichkeit, den Umfang der zu 
übermittelnden Daten einzuschränken. Eine Befugnis für 
zusätzliche Erhebungen wird demgegenüber aber gerade 
nicht eröffnet. 

Als Abrechnungsunterlage für die Pflegekasse kommen da- 
her nur solche Dokumente in Betracht, in denen (Dienst-) 
Leistungen des Pflegedienstes nach Art, Preis und Menge 
sowie die Abgabe von Hilfsm itteln nachgewiesen werden. 
Eine solche Abrechnungsunterlage stellt beispielsweise der 
so genannnte Leistungsnachweis dar , in dem die durchge- 
führten Leistungen des Pflegedienstes täglich einzutragen, 
von der Pflegekraft abzuzeichnen und durch den Pflegebe- 
dürftigen bzw. einer von ihm beauftragten Person zeitnah zu 
bestätigen sind. Zu einer Datenübermittlung, die über den 
Umfang der in § 105 SGB XI genannten, für die Abrech- 
nung erforderlichen Daten hinaus geht, z. B. der Übermitt- 
lung medizinischer Daten der Pflegebedürftigen, wie sie in 
der Pflegedokumentation vorhegen, ist der Pflegedienst im 
Rahmen der Leistungsabrechnung mit der Pflegekasse we- 
der verpflichtet noch befugt. 

Eine klare Dif ferenzierung zwischen den Abrechnungs- 
unterlagen einerseits und der Pflegedokumentation ande- 
rerseits ist besonders wichtig, weil die Pflegedokumenta- 
tion unter anderem Anamnese- und Diagnosedaten und 
damit außerordentlich sensible Daten enthält und der 
Pflegeversicherte ein zentrales Interesse daran hat, dass 
diese Daten nicht unnötig weiterverarbeitet werden. Die 
Pflegedokumentation ist daher von den Abrechnungsun- 
terlagen unbedingt zu trennen (s. a. LfD Thüringen, 3. TB 
Nr. 11.21). 

Auch eine Einsichtnahme der Pflegekasse in die Pflegedo- 
kumentation in Zusammenhang mit der Überwachung der 
Wirtschaftlichkeit und Qualität der Leistungserbringung 
scheidet aus. Die V erfahren für diese Überprüfungen sind 
gesetzlich geregelt(§§ 79, 80ff„ 112 bis 115, 117 und 118 
SGB XI). Danach ist es lediglich dem Medizinischen Dienst 
der Krankenversicherung (MDK) bzw. den bestellten Sach- 
verständigen gestattet, im Rahmen ihrer Aufgaben und Prü- 
fungen Einsicht in Unterlagen mit medizinischen Daten zu 
nehmen. Ein Recht der Pflegekassen, im Rahmen der Über- 
wachung der Wirtschaftlichkeit und Qualität der Leistungs- 
erbringung in Unterlagen mit sensiblen Daten der Pflegebe- 
dürftigen einzusehen, sehen diese Regelungen gerade nicht 
vor. 

Die Pflegekasse ist damit nich t befugt, Daten aus der Pfle- 
gedokumentation zu erheben. Gleiches gilt für eine entspre- 
chende Übermittlung des Pflegedienstes. 

Demgegenüber ist eine Übermittlung der Pflegedokumenta- 
tion an den MDK anders zu bewerten. Der MDK darf perso- 
nenbezogene Daten für Zwecke der Pflegeversicherung er- 
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heben, verarbeiten und nutzen, soweit dies für die 
Prüfungen, Beratungen und gutachtlichen Stellungnahmen, 
wie z. B. die Feststellung de r Pflegebedürftigkeit oder die 
Notwendigkeit der V ersorgung mit Pflegehilfsmitteln und 
technischen Hilfen erforderlich ist (§ 97 Abs. 1 Satz 1 
SGB XI). Die konkreten Aufgaben des MDK, für die die 
Verarbeitung von Sozialdaten erforderlich ist, er geben sich 
aus § 276 Abs. 6 SGB V sowie §§ 18, 40, 80, 1 12 bis 1 15, 
117 und 1 18 SGB XL Hier lässt sich erkennen, dass der 
MDK auch für den Bereich der Pflegeversicherung für die 
Beurteilung medizinischer Fragen zuständig ist. Damit wird 
der MDK in der Pflegeversicherung - ebenso wie in der ge- 
setzlichen Krankenversicherung - als Gutachter tätig, so- 
dass er in diesem Zusammenhang auch in die Pflegedoku- 
mentation von Pflegebedürftigen Einsicht nehmen darf. Zur 
Abgrenzung der Befugnisse zwischen dem MDK als Gut- 
achter und der Krankenkasse hat das Bundessozialgericht in 
seinem o. g. Urteil ausgeführt, dass die Krankenkassen kein 
eigenes Recht auf Einsichtnahme in medizinische Behand- 
lungsunterlagen haben, sondern insoweit auf ein Tätigwer- 
den des MDK angewiesen sind. 

Wie in der gesetzlichen Krankenversicherung ist auch in der 
Pflegeversicherung eine entsprechende Trennung der Aufga- 
ben zwischen MDK und Pflegekasse vorgegeben, sodass die 
im Bereich der gesetzlichen Krankenversicherung geltenden 
Grundsätze auf die Pflegeversicherung zu übertragen sind. 
Damit ist auch in der Pflegeversicherung eine Einsichtnahme 
der Pflegekasse in die Pflegedokumentation unzulässig. 

Aus diesem Grunde sind Abrechungsunterlagen und Pflege- 
dokumentation sorgfältig voneinander zu trennen. Auch für 
eine Einwilligung durch den Pflegebedürftigen ist in diesem 
Zusammenhang — wie bei der gesetzlichen Krankenversi- 
cherung - kein Raum. 

Ich werde die Pflegekassen dazu anhalten, den Umgang mit 
Pflegedokumentationen in dem aufgezeigten Rahmen zu re- 
geln. 

25 Rentenversicherung 

25.1 Neue Richtlinien der Bundes- 

versicherungsanstalt für Angestellte 
verbessern den Datenschutz 
in der Reha-Klinikgruppe weiter 

Die Bundesversicherungsanstalt für Angestellte (BfA) be- 
treibt mehrere Rehabilitationskliniken, ln diesen Kliniken 
wird in hohem Maße mit Daten von Patienten umgegangen. 
Jeder Patient hat einen grundgesetzlich garantierten An- 
spruch darauf, dass seine Persönlichkeitsrechte durch den 
Umgang mit den ihn betreffenden Daten nicht beeinträchtigt 
werden. Dies gilt insbesondere für Gesundheitsdaten, die in 
den Kliniken anfallen. Aus diesem Grunde hat die BfA 
„Richtlinien der BfA für den Datenschutz in der Reha-Kli- 
nikgruppe (Datenschutz-Richtlinien)“ erstellt. 

Bei der Erarbeitung dieser Richtlinien bin ich frühzeitig be- 
teiligt worden. Schriftlich und in mündlichen Erörterungen 
sind Anregungen zu dem Entwurf der Richtlinien gegeben 
worden. Es ist zu begrüßen, dass die BfA diese Anregungen 
nahezu vollständig übernommen hat. Die Datenschutz- 
Richtlinien sind für alle Rehabilitationskliniken verbindlich; 
sie sind für alle Mitarbeiter jederzeit zugänglich. Sie befas- 
sen sich insbesondere mit den Grundsätzen des Daten- 


schutzrechts, innerbetrieblichen Maßnahmen zur Sicherung 
des Datenschutzes, Patientenrechten, der Übermittlung von 
Sozialdaten an Dritte, W eitergabe des ärztlichen Entlas- 
sungsberichts und den Fragen der IT-Sicherheit. 

Mit diesen Richtlinien ist es der BfA gelungen, den ohnehin 
schon sehr hohen Datenschutzstandard der Rehabilitations- 
kliniken der BfA weiter zu verbessern. 

25.2 Moderne Technik erleichtert das 
Verfahren für die Aufnahme von Anträgen 
auf Rentenversicherungsleistungen 

Zu den Aufgaben der Wrsicherungsämter gehört es nach § 93 
Abs. 2 SGB IV, Anträge auf Leistungen aus der Rentenversi- 
cherung entgegenzunehmen. Um die Antragstellung - auch 
für die Versicherten - zu vereinfachen, haben sich die Renten- 
versicherungsträger für bildschirmunterstützte Anträge ein- 
gesetzt. ln dem erforderlichen Gesetzgebungsverfahren bin 
ich frühzeitig beteiligt worden. Durch das Hüttenknapp- 
schaftliche Zusatzversicherungs-Neuregelungs-Gesetz vom 
21. Juni 2002 (BGBl. 1 2002 S. 2167) wurden die erforderli- 
chen gesetzlichen Regelungen in den §§ 148, 150 und 151a 
SGB VI getroffen. Diese Regelungen beschränken den On- 
line-Zugriff der Versicherungsämter und der Gemeinden be- 
züglich der Daten des Versichertenkontos auf den tatsächlich 
hierfür erforderlichen Umfang („Stammdaten“ und einige 
weitere Daten). Auch ist ein Sicherheitskonzept vorgeschrie- 
ben, das die Rentenversiche rungsträger und der V erband 
Deutscher Rentenversicherungsträger im Einvernehmen mit 
dem Bundesamt für Sicherheit in der Informationstechnik zu 
erstellen haben; dieses muss die nach § 78a SGB X erforder- 
lichen technischen und or ganisatorischen Maßnahmen ent- 
halten. Außerdem ist die vorherige Zustimmung der jeweili- 
gen Aufsichtsbehörde vor Einrichtung eines automatisierten 
Antragsaufnahmeverfahrens vorgeschrieben. 

Damit ist ein Verfahren festgelegt worden, das den Anforde- 
rungen der Praxis und dem Datenschutz gerecht wird. 

25.3 Kontrolle von Rehabilitationskliniken 
der Bundesversicherungsanstalt für 
Angestellte: Hoher Datenschutz- 
Standard! 

Im Berichtszeitraum habe ich datenschutzrechtliche Kon- 
troll- und Beratungsbesuche in zwei Rehabilitationskliniken 
in der Trägerschaft der BfA durchgeführt. In verschiedenen 
Bereichen der Kliniken (u. a. Patientenaufnahme, Stationen, 
Finanzbuchhaltung, Kasse, Patientenarchiv, Therapiebereich, 
psychologischer Dienst, Sekretariate der leitenden Ärzte) 
galt es, die Verarbeitung von Sozialdaten (personenbezoge- 
nen Daten der Patienten) hinsichtlich der W ahrung des So- 
zialgeheimnisses nach § 35 SGB I zu prüfen. Daneben dien- 
ten die Besuche dazu, vor Ort wichtige Anregungen für die 
Datenschutz-Richtlinien (s. a. Nr. 25.1) zu gewinnen. 

Aufgrund früherer Kontroll feststellungen (vgl. 18. TB 
Nr. 22.2) hat die BfA das Verfahren der Übersendung medi- 
zinischer Unterlagen von der Hauptstelle an die Rehabilita- 
tionskliniken umgestellt: So habe ich insbesondere geprüft, 
welche dem Arztgeheimnis unterliegenden personenbezo- 
genen Daten nunmehr der Patien tenaufnahmestelle für de- 
ren Aufgabenerfüllung zugeleitet werden. Neben sonstigen 
Verwaltungsunterlagen übermittelt die Hauptstelle ihren Re- 
habilitationskliniken alle medizinischen Unterlagen, etwa 
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ärztliche Gutachten, nur in einem separaten und besonders 
gekennzeichneten verschlossenen Umschlag. Dies und die 
maßgeblichen Regelungen der BfA gewährleisten, dass nur 
hierzu Befugten, etwa dem zu ständigen Arzt, der vor der 
Aufnahme der Patienten die Art der Unterbringung festlegt, 
oder der jeweiligen Station während des Aufenthaltes in der 
Rehabilitationsklinik medizinische Unterlagen zugänglich 
sind. Die Patientenaufnahme er hält von den medizinischen 
Unterlagen keine Kenntnis, auch nicht von Entlassungsbe- 
richten. Anders verhält es sich bei Patienten, bei denen eine 
Anschluss-Heilbehandlung erforderlich ist. Hier erhält die 
Patientenaufnahmestelle zulässigerweise Kenntnis der me- 
dizinischen Daten, da ihr in diesem Bereich zusätzliche 
Aufgaben übertragen sind, die die Kenntnisnahme solcher 
Unterlagen erfordern. Gegen das vor gefundene Verfahren 
bestehen keine datenschutzrechtlichen Bedenken. 

Auch der Umgang mit Patientendaten auf den Stationen ist 
ebenso in Ordnung wie der Inhalt der stichprobenartig über- 
prüften Patientenakten sowie deren Aufbewahrung im Pati- 
entenarchiv nach der Entlassung der Patienten. 

Einzelfeststellungen in anderen Bereichen der Kliniken, 
etwa das Auffinden von Unterlagen, die bereits hätten ge- 
löscht sein müssen, habe ic h unmittelbar mit den V erant- 
wortlichen besprochen, sodass noch vor Ort die notwendi- 
gen Veranlassungen getroffen werden konnten. 

Insgesamt habe ich es als sehr sinnvoll empfunden, dass 
während der beiden Besuche Gelegenheit bestand, mit 
den beteiligten Mitarbeitern der Hauptstelle der BfA, ins- 
besondere aber mit den V erantwortlichen der Rehabilita- 
tionskliniken alle datenschutzrechtlich relevanten Punkte 
konstruktiv vor Ort zu erörtern. Auch die T atsache, dass 
die Erkenntnisse der Beratungs- und Kontrollbesuche in 
die o. a. Datenschutz-Richtlinien eingeflossen und somit 
zwischenzeitlich für alle BfA-Rehabilitationskliniken 
verbindlich sind, bewerte ich als positiv. 

Zusammenfassend habe ich vom Datenschutz in beiden Re- 
habilitationskliniken der BfA erneut einen positiven Ein- 
druck gewonnen. 

26 Unfallversicherung 

26.1 Gutachtertätigkeit 

Seit In-Kraft-Treten der Gutachterregelung des § 200 Abs. 2 
SGB VII am 1 . Januar 1997 war ich immer wieder mit der 
Gutachtertätigkeit in der gesetzlichen Unfallversicherung 
befasst und habe dabei verschiedene Aspekte dieser Proble- 
matik geprüft (vgl. 17. TB Nr. 23.4, 18. TB Nr. 23.1). Auch 
in diesem Berichtszeitraum haben sich wieder zahlreiche 
Petenten an mich gewandt, die sich in ihren Rechten nach 
§ 200 Abs. 2 SGB VII verletzt fühlten. Daher habe ich wie- 
der zahlreiche Gespräche zu dieser Thematik mit dem Bun- 
desversicherungsamt, der Aufsichtsbehörde der Berufsge- 
nossenschaften, dem Hauptverband der gewerblichen 
Berufsgenossenschaften (HVBG) und V ertretem einzelner 
Berufsgenossenschaften geführt, um die Rechte der V ersi- 
cherten beim Umgang mit ihren persönlichen Daten im un- 
fallversicherungsrechtlichen Feststellungsverfahren zu ver- 
bessern. Um mir einen Ei nblick in die Handhabung des 
§ 200 Abs. 2 SGB VII in der Praxis zu verschaffen, habe ich 
bei drei Berufsgenossenschaften Kontrollen durchgeführt, 
die ich auf spezielle Fragestellungen beschränkt habe: Zahl- 


reiche Akten der Berufsgenossenschaften wurden danach 
überprüft, 

— in welchem Umfang dem Versicherten das Recht einge- 
räumt wurde, selbst einen Gutachter vorzuschlagen; 

— ob bei der Einschaltung eines beratenden Arztes ein Gut- 
achtenauftrag im Sinne des § 200 Abs. 2 SGB VII erteilt 
wurde, ohne dass dem V ersicherten die in dieser V or- 
schrift genannten Rechte gewährt wurden; 

— ob der Versicherte diese Rechte auch bei der Einschal- 
tung eines Zusatzgutachters wahrnehmen konnte. 

Ich werte es als großen Erfolg, der auf eine weitere V erbes- 
serung der datenschutzrechtlichen Positionen der Versicher- 
ten im unfallversicherungsrechtlichen Feststellungsverfah- 
ren hoffen lässt, dass sich alle Beteiligten trotz der nunmehr 
lang andauernden Erörterungen und teilweise sehr divergie- 
renden Auffassungen immer wieder zu gemeinsamen Ge- 
sprächen bereit finden, auch wenn in einzelnen Fragen eine 
gemeinsame Lösung noch offen ist. 

26.1 .1 Vorschlagsrecht der Versicherten: 

Gesetzliche Regelung endlich in Sicht? 

In einer Vielzahl von Eingaben haben V ersicherte beklagt, 
dass die Berufsgenossenschaften einen von ihnen vor ge- 
schlagenen Gutachter nicht beauftragt haben. Die Berufsge- 
nossenschaften müssen einem Gutachtervorschlag des Ver- 
sicherten zwar nicht folgen, eine Ablehnung des Vorschlags 
muss jedoch nachvollziehbar begründet werden, ln einigen 
Eingabefällen bestanden insoweit erhebliche Bedenken. So 
halte ich es nicht für eine tragfähige Begründung, wenn die 
Berufsgenossenschaft einen von einer V ersicherten vorge- 
schlagenen Gutachter mit der Begründung ablehnt, dessen 
Praxis sei weiter vom Wohnort der Versicherten entfernt als 
die Praxis der von der Berufsgenossenschaft benannten Gut- 
achter. Hier bietet sich als Lösung an, dass der V ersicherte 
die durch die weitere Entfernung bedingten Kosten selbst 
übernimmt. 

Bei meinen Stichprobenhaften Kontrollen habe ich hinsicht- 
lich des Rechts der Versicherten, selbst einen Gutachter Vor- 
schlägen zu können, wenig Schwierigkeiten festgestellt. Bei 
zwei Berufsgenossenschaften wurde in der Regel einem 
Gutachtervorschlag des Versicherten gefolgt. Bei der dritten 
Berufsgenossenschaft habe ich keine Akte gefunden, in der 
ein Versicherter einen Gutachter vorgeschlagen hatte. 

Meiner Empfehlung, zur Stärkung dieser Rechtsposition 
der Versicherten zu Beginn des V erfahrens einen Hinweis 
auf das Gutachtervorschlagsrecht zu geben, sind die meis- 
ten Berufsgenossenschaften jedoch nicht gefolgt, ln mei- 
nem 18. TB (Nr . 23.1.2) habe ich über die sehr positiven 
Erfahrungen mit einem diesbezüglichen Pilotverfahren be- 
richtet. Dabei wurde der V ersicherte auf dieses Recht hin- 
gewiesen und darüber informiert, ob und ggf. welcher Gut- 
achter für die Berufsgenossenschaft auch als beratender 
Arzt tätig ist. Im Berichtsze itraum haben zwei weitere Be- 
rufsgenossenschaften dieses Verfahren durchgeführt und 
ebenfalls eine durchweg positive Bilanz gezogen: Nach ih- 
ren Erfahrungen mit dem Modellversuch sei nicht zu er- 
warten, dass in nennenswertem Umfang nicht verwertbare 
Gutachten erstellt würden, die zu unnötigen Nachbesserun- 
gen und Verfahrensverzögerungen führten. Zu meinem Be- 
dauern hat sich der HVBG jedoch noch nicht entschließen 
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können, eine Empfehlung für a Ile Berufsgenossenschaften 
auszusprechen, dieses Verfahren allgemein umzusetzen. 

Ich habe mich wiederholt für das Recht der V ersicherten 
eingesetzt, im unfallversicherungsrechtlichen Feststellungs- 
verfahren selbst einen Guta chter vorschlagen zu können. 
Auf meine Anregung im 18. TB hin hat der Deutsche Bun- 
destag das zuständige Ressort beauftragt, die Aufnahme des 
Gutachtervorschlagsrechts der Versicherten in das SGB VII 
zu prüfen. 

26.1.2 Einsatz des beratenden Arztes im 
Feststellungsverfahren 

Wie in den Jahren zuvor lag auch in diesem Berichtszeitraum 
der Schwerpunkt der Gutachte rproblematik darin, ob dem 
Versicherten die Rechte des § 200 Abs. 2 SGB VII auch dann 
zu gewähren sind, wenn ein be ratender Arzt des Unfallversi- 
cherungsträgers (UVT) zu ei ner Stellungnahme aufgefordert 
wird, ln zahlreichen Eingabef ällen und bei Kontrollen habe 
ich festgestellt, dass viele UVT dem V ersicherten nicht meh- 
rere Gutachter zur Auswahl benennen und ihm kein eigenes 
Gutachtervorschlagsrecht gewähren, wenn ein Gutachtenauf- 
trag an einen beratenden Arzt erteilt wurde. Die von den UVT 
vertretene Auffassung, dass der beratende Arzt wie ein Mitar- 
beiter der Verwaltung tätig sei, die Weitergabe der Daten des 
Versicherten keine Datenüberm ittlung, sondern eine interne 
Nutzung der Daten innerhalb der Verwaltung sei und deshalb 
ein Gutachten dieses Mitarbeiters ohne Berücksichtigung des 
§ 200 Abs. 2 SGB VII eingehol t werden dürfe, widerspricht 
dem eindeutigen Wortlaut dieser Vorschrift. Mit der Formulie- 
rung „vor Erteilung eines Gu tachtenauftrages“ knüpft diese 
Vorschrift inhaltlich an ein Gutachten an und unterscheidet 
nicht zwischen einem internen und externen Gutachter. Eine 
Aushebelung des Gutachterauswa hl- und -Vorschlagsrechts 
entgegen der eindeutigen Inte ntion des Gesetzgebers durch 
Einführung eines im Gesetz nicht genannten Kriteriums habe 
ich als unzulässig bewertet. Die mit der Schaf füng des § 200 
Abs. 2 SGB VII vom Gesetz be absichtigte Verbesserung der 
Verfahrenstransparenz und St ärkung der Mitwirkungsrechte 
des Versicherten lässt eine solche Auslegung nicht zu. 

Auch das Bundesversicherungsamt (BVA), die Aufsichtsbe- 
hörde der Berufsgenossenschaften, hat sich dieser Ar gu- 
mentation nicht verschlossen. Zwar hält das BVA meine im 
18. TB (Nr. 23.1) vorgestellten Fallkonstellationen, in denen 
eine beratungsärztliche Tätigkeit angenommen werden 
kann, für seine Aufgabenstellung nicht für hilfreich, da an- 
hand dieser Kriterien eine na chträgliche Rechtsmäßigkeits- 
bewertung nur schwer nachvollziehbar sei. Ich habe jedoch 
mit dem BVA Übereinstimmung erzielt, dass die Kriterien 
zur Abgrenzung der Tätigkeit eines beratenden Arztes von 
denen eines Gutachters im Rahmen der Auftragsvergabe be- 
rücksichtigt werden können. Nach dem W ortlaut des § 200 
Abs. 2 SGB VII werden dem V ersicherten die genannten 
Rechte vor Erteilung eines Gutachtenauftrages gewährt. Für 
die aufsichtsrechtliche Überprüfung im Rahmen dieser Vor- 
schrift bietet es sich daher an, der Prüfung die Formulierung 
des Gutachtenauftrages zugrunde zu legen. So kann bei- 
spielsweise anhand des Textes geprüft werden, ob damit nur 
eine allgemeine Erläuterung medizinischer Begriffe oder 
aber eine umfassende Begutachtung angefordert wird. Ich 
halte das für eine gute Diskussionsgrundlage, von der Defi- 
nition eines Zusammenhangsgutachtens auszugehen, wie sie 
von den UVT für die Gebührenzahlung selbst entwickelt 


wurde. Danach ist ein Zusammenhangsgutachten die eigen- 
ständige Ursachenbewertung der vorliegenden und erhobe- 
nen Befunde unter Heranziehung und Würdigung der in der 
jeweiligen Anspruchsnorm aufgeführten V oraussetzungen. 
Übertragen auf den Gutachtenauftrag im Sinne des § 200 
Abs. 2 SGB VII sind dem V ersicherten die in dieser V or- 
schrift genannten Rechte dann zu gewähren, wenn die Bitte 
um Stellungnahme durch die Berufsgenossenschaft so for- 
muliert ist, dass sie auf eine umfassende Bewertung ausge- 
richtet istbzw. wenn die Formulierung unter Angabe der 
Berufskrankheit so offen gehalten ist, dass eine umfassende 
Bewertung zu erwarten ist. Ich bin zuversichtlich, dass die- 
ser Lösungsansatz, der sowohl der Aufsichtsbehörde die Er- 
füllung ihrer Aufgaben ermöglicht als auch die mit dem 
HVBG bereits entwickelten Kriterien berücksichtigt, für 
alle Beteiligten akzeptabel ist. Bei den auch weiterhin zu 
führenden Gesprächen werde ich mich dafür einsetzen, dass 
die Rechte der Versicherten auf eine Verbesserung der Ver- 
fahrenstransparenz und Mitwirkung im unfallversicherungs- 
rechtlichen Feststellungsverfahren in größtmöglichem Um- 
fange gewährleistet werden. 

26.1.3 Arzt im Gerichtsverfahren: beratender 
Arzt oder Gutachter? 

In meinem 18. TB (Nr. 23.1.3.2) habe ich bereits berichtet, 
dass sich die Vorschrift des § 200 Abs. 2 SGB VII, wonach 
der UVT den V ersicherten vor Erteilung eines Gutachten- 
auftrages mehrere Gutachter zur Auswahl benennen soll, 
hauptsächlich auf diesbezügl iche Entscheidungen der V er- 
waltung bezieht. Nach ihrem W ortlaut ist diese V orschrift 
jedoch auch anwendbar, wenn der UVT ein Gutachten wäh- 
rend eines anhängigen Gerichtsverfahrens einholt, ln dieser 
Fallkonstellation weicht zwar di e Interessenlage in einigen 
Punkten von dem Hauptanwendungsfall ab; der Sozialda- 
tenschutz bleibt jedoch auch hier erhalten. Die UVT können 
nicht nach Belieben über die Daten der V ersicherten verfü- 
gen. Auch als Beteiligter eines Sozialgerichtsverfahrens 
bleiben sie - bezogen auf ihre eigene Datenverarbeitung - 
den Regelungen des Sozialgesetzbuches unterworfen, so- 
weit nicht das Sozialgerichtsgesetz etwas anderes bestimmt. 
Damit gelten für die UVT für das V erfahren zur Beibrin- 
gung eines Beweismittels nich t die V erfahrensregelungen 
des Sozialgerichtsgesetzes, sondern die Bestimmungen des 
Verwaltungsverfahrens nach dem Sozialgesetzbuch. Im 
Rahmen dieser Regelungen können die UVT als Partei eines 
Gerichtsverfahrens die Daten des Versicherten nutzen, um 
ihre Rechtsauffassung zu stützen. Sie können beispielsweise 
durch einen beratenden Arzt medizinische Sachfragen klä- 
ren oder ein vom Gericht eingeholtes Gutachten erläutern 
lassen. Die Einholung eines Gegengutachtens ist aber nur 
im Rahmen der V orschriften des Sozialgesetzbuches zu- 
lässig. 

ln letzter Zeit war ich mehrfach mit Eingaben befasst, in de- 
nen Versicherte der gesetzlich en Unfallversicherung sich 
darüber beklagten, dass die jeweils zuständigen UVT wäh- 
rend eines anhängigen Sozialgerichtsverfahrens ein Gutach- 
ten des beratenden Arztes eingeholt hätten, ohne ihm die 
nach den datenschutzrechtlichen Regelungen des Sozialge- 
setzbuches vorgesehenen Rechte zu gewähren. Ich habe den 
UVT meine Auffassung mitgeteilt und die Löschung der un- 
ter Nichtbeachtung des § 200 Abs. 2 SGB Vll eingeholten 
Gutachten empfohlen. Dieser Empfehlung sind die UVT 
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bislang nicht gefolgt. Ich werde mich daher weiter bemü- 
hen, mit den einzelnen Berufsgenossenschaften und auch 
mit dem HVBG eine praktikable und datenschutzfreundli- 
che Lösung zu finden. Ein abschließendes Er gebnis konnte 
in dieser Frage bislang nicht erzielt werden. 

26.1.4 Auswahlrecht auch bei Zusatzgutachten 

Aus einer V ielzahl von Eingaben und auch bei Kontrollen 
habe ich den Eindruck gewönne n, dass die Gutachteraus- 
wahlregelung des § 200 Abs. 2 SGB VII insbesondere bei 
der Vergabe von Zusatzgutachten Schwierigkeiten bereitet. 
Der Wortlaut der Vorschrift ist insoweit eindeutig. Bei Zu- 
satzgutachten handelt es sich ebenfalls um Gutachten im 
Sinne der Vorschrift, die zwischen Haupt- und Zusatzgut- 
achten nicht unterscheidet. 

ln vielen Fähen hatten die UVT den V ersicherten drei Gut- 
achter zur Auswahl benannt. Dabei war den V ersicherten 
mitgeteilt worden, der ausgewählte Gutachter werde den 
weiteren Verlauf mit ihnen absprechen, wenn Begutachtun- 
gen auf anderen Fachgebieten erforderlich seien. Dies 
wurde sogar bei äußerst schweren Unfällen so gehandhabt, 
obwohl absehbar war, dass Gutachten auf mehreren Fachge- 
bieten benötigt wurden. So wurden beispielsweise einem 
schwer verletzten Versicherten drei Gutachter auf chirur gi- 
schem Fachgebiet vor geschlagen. Der hieraus ausgewählte 
Gutachter vergab dann Gutachten auf neurologischem, psy- 
chiatrischem, HNO-ärztlichem und augenärztlichem Fach- 
gebiet, ohne dass der V ersicherte für diese weiteren Auf- 
träge einen von drei benannten Gutachtern auswählen oder 
selbst einen von ihm gewünschten Gutachter Vorschlägen 
konnte. 

Der von einem UVT unter Beachtung des § 200 Abs. 2 
SGB VII beauftragte Gutachter ist nicht befugt, eigenmäch- 
tig einen oder mehrere Zusatzgutachter zu beauftragen. Ein 
solches Vorgehen berücksichtigt nicht, dass die Berufsge- 
nossenschaft in allen V erfahrensschritten die Herrin des 
Verfahrens bleibt. Es ist auch nicht mit der Intention des 
§ 200 Abs. 2 SGB VII vereinbar , durch einen Gutachter 
ohne Wissen des Versicherten weitere Zusatzgutachter be- 
auftragen zu lassen, weil dieser seine Mitwirkungsrechte 
und sein Widerspruchsrecht nach § 76 Abs. 2 SGB X gegen 
die Übermittlung seiner Sozialdaten an die Zusatzgutachter 
nicht ausüben kann. Daher sind dem V ersicherten vor jeder 
Beauftragung mit einem Zusatzgutachten auch insoweit 
mindestens drei Gutachter zur Auswahl zu benennen. Das 
gilt auch dann, wenn ein von der Berufsgenossenschaft be- 
auftragter Gutachter erst im Laufe der Untersuchung oder 
Bearbeitung feststellt, dass er ein weiteres Gutachten benö- 
tigt. Auch in diesem Fall müssen die Rechte des V ersicher- 
ten beachtet werden. Bei meinen Kontrollen habe ich mit 
den meisten Berufsgenossenschaften eine Einigung darüber 
erzielt, dass der Versicherte zumindest in dem Schreiben zur 
Gutachterauswahl auf sein Recht hingewiesen wird, auch 
die Zusatzgutachter auswählen bzw . selbst Vorschlägen zu 
können. 

26.2 Verwertungsverbot bei unzulässiger 
Datenerhebung: Erschleichung eines 
Obduktionsergebnisses 

Einer Petentin wurden Leist ungen für Hinterbliebene nach 
dem SGB VII versagt, weil die Berufsgenossenschaft der 


chemischen Industrie sich unter Verstoß gegen datenschutz- 
rechtliche Vorschriften den Obduktionsbericht ihres verstor- 
benen Mannes beschaf ft hatte. Nach dem T ode des Ehe- 
manns, der seit längerer Zeit an einer als Berufskrankheit 
anerkannten Asbestose erkrankt war , ermittelte die Berufs- 
genossenschaft hinsichtlich der T odesursache. Nach § 63 
Abs. 2 SGB VII besteht bei bestimmten Erkrankungen, zu 
denen auch eine Asbestose zählt, eine Rechtsvermutung da- 
für, dass der Tod des Versicherten infolge der Berufskrank- 
heit eingetreten ist. Das Gesetz stellt ausdrücklich klar, dass 
eine Obduktion zum Zwecke einer solchen Feststellung 
nicht gefordert werden darf. 

Im vorliegenden Fall hatte die Petentin auf Anfrage des be- 
handelnden Arztes einer Obduktion zu ausschließlich wis- 
senschaftlichen Zwecken zugestimmt. Den entsprechenden 
Obduktionsbefund wollte die Berufsgenossenschaft trotz 
der bestehenden Rechtsvermutung unbedingt zur Klärung 
von Kausalitätsfragen nutzen: W enige Tage nach der Ob- 
duktion forderte sie die Petentin telefonisch unter Hinweis 
auf eine Verkürzung der Bearbeitungsdauer auf, den Obduk- 
tionsbericht zu übersenden. Dies es Vorgehen steht nicht im 
Einklang mit den datenschutzrechtlichen V oraussetzungen 
für eine Einwilligung. Nach § 67b SGB X ist eine Einwilli- 
gung des Betroffenen nur wirksam, wenn er auf den Zweck 
der vorgesehenen Verarbeitung oder Nutzung hingewiesen 
wird, die Einwilligung auf freier Entscheidung beruht und - 
entsprechend dem in Satz 3 der V orschrift normierten 
Schriftfonnerfordemis — schriftlich erteilt worden ist. Auch 
die Anforderung des Obduktionsbefundes beim Kranken- 
haus war datenschutzrechtlich nicht zulässig. Der Obdukti- 
onsbericht konnte ausschließlich aufgrund der Zustimmung 
der Angehörigen zu der Obduktion ersteht werden, sodass 
eine Auskunftsverpflichtung der Ärzte nur im Umfang die- 
ser Einwilligung bestehen konnte. Die Landesbeauftragte 
für den Datenschutz Nordrhein-W estfalen hat in ihrer Zu- 
ständigkeit für die Einhaltung datenschutzrechtlicher Vor- 
schriften durch das Krankenhaus die Übersendung des 
Obduktionsbefundes an die Berufsgenossenschaft als unzu- 
lässig bewertet. Die Petentin war auch nicht — wie von der 
Berufsgenossenschaft behauptet - verpflichtet, den Obduk- 
tionsbericht aufgrund einer Mitwirkungsobliegenheit an die 
Berufsgenossenschaft herauszugeben, da sie die Einwilli- 
gung zur Obduktion auf die Entnahme des T umors zu wis- 
senschaftlichen Zwecken beschränkt hatte. Diese eindeutige 
Zweckbindung kann keine Mitwirkungsverpflichtung be- 
gründen. 

Der somit unter V erletzung zahlreicher datenschutzrecht- 
licher Vorschriften erhobene Obduktionsbericht ist nach § 84 
Abs. 2 SGB X zu löschen. Diese Auf fassung wird von dem 
Bundesversicherungsamt geteilt sowie auch vom Petitions- 
ausschuss des Deutschen Bundestages befürwortet. Dennoch 
hat die Berufsgenossenschaft den Antrag der Petentin abge- 
lehnt. Der gegen diese Entscheidung erhobenen Klage wurde 
in erster Instanz stattgegeben. Die Berufsgenossenschaft hat 
hiergegen indes Berufung eingelegt. Ich werde mich auch im 
weiteren Verlauf dieser Angelegenheit für die Beachtung der 
datenschutzrechtlichen Vorschriften einsetzen. 

26.3 Sozialdaten in Regressfällen 

Eine Petentin war auf dem Weg zur Arbeit unverschuldet in 
einen Autounfall verwickelt worden und hatte dabei 
schwerste, bleibende Gesundheitsschäden erlitten. Sie 
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fühlte sich zumindest finanziell gut abgesichert, da sie die 
Übernahme der Kosten nicht nur von der gegnerischen 
Haftpflichtversicherung verlangen konnte, sondern auch 
von der gesetzlichen Unfallversicherung und ihrer privaten 
Unfallversicherung, ln dieser Hof fnung wurde sie jedoch 
enttäuscht, da die Berufsgenossenschaft für Gesundheits- 
dienst und Wohlfahrtspflege (BGW) als zuständiger gesetz- 
licher Unfallversicherungsträger unter Missachtung daten- 
schutzrechtlicher Vorschriften ein Gutachten in Auftrag gab, 
das zu unrichtigen Er gebnissen kam. Über die Beanstan- 
dung in diesem Fall habe ich bereits im 18. TB (Nr . 23. 1 ) 
berichtet. Das rechtswidrig eingeholte Gutachten, demzu- 
folge die schweren Gesundheitsschäden nicht auf den Un- 
fall zurückzuführen wären, gelangte über eine Indiskretion 
des beratenden Arztes auch zu der privaten Unfallversiche- 
rung und zur gegnerischen Haftpflichtversicherung. Obwohl 
sich die ärztliche Einschätzung später als falsch erwies und 
der Bescheid der BGW aufgehoben wurde, hatte die Peten- 
tin neben den körperlichen Leiden auch finanzielle Unsi- 
cherheiten und Einbußen zu ertragen, da die beiden privaten 
Versicherungen aufgrund des unrichtigen Gutachtens eben- 
falls nicht zahlten. 

Auch wenn grundsätzlich bei jedem Unfall Datenüber- 
mittlungen zwischen den gesetzlichen Unfallversicherungs- 
trägern und den privaten Haftpflichtversicherern der Un- 
fallgegner erfolgen und im Rahmen von so genannten 
„Teilungsabkommen“ zur Erleichterung der Regressabwick- 
lung alle Daten übermittelt werden, die benötigt werden, um 
gegenüber der privaten Haftpflichtversicherung das Beste- 
hen eines Anspruches nachzu weisen, halte ich allerdings 
eine Konkretisierung dieser Datenübermittlungen auch bei 
der Durchführung von Erstattungs- und Ersatzansprüchen 
für wichtig, da sich sonst ein Betroffener, der sich mit einer 
unrechtmäßigen Ablehnung seines Antrags durch die Be- 
rufsgenossenschaft auseinander setzen muss, aufgrund einer 
vorschnellen und übennäßigen Übermittlung seiner Daten 
möglicherweise mit den gleichen Einwänden durch den 
Haftpflichtversicherer des Unfallgegners konfrontiert sieht. 
Die BGW hat mir darin zugestimmt, dass im Hinblick auf 
die hohe Sensibilität der Date n und die V erantwortung der 
übermittelnden Stelle besonders hohe Anforderungen an die 
Erforderlichkeit der Übermittlung zu stellen sind. Ein von 
mir angeregtes Abwarten bis zur Bestandskraft des Beschei- 
des hat die Berufsgenossenschaft aber abgelehnt, da in Re- 
gressverfahren zivilrechtliche Grundsätze und damit auch 
Verjährungsfristen gelten, und bei umfangreichen, kompli- 
zierten Fällen mit einer langen V erfahrensdauer gerechnet 
werden müsse. Dieses Ar gument vermag nicht vollständig 
zu überzeugen: ln der V ielzahl der Fälle wird es — wie bei 
der geschilderten Eingabe - nicht um komplizierte Sachver- 
halte gehen, ln den Fällen, in denen ein V ersicherter Klage 
gegen den ablehnenden Bescheid der Berufsgenossenschaft 
erhebt, sodass es nunmehr auf die Rechtskraft und nicht 
mehr auf die Bestandskraft ankommt, könnten andere Krite- 
rien für eine gestaffelte Übermittlung herangezogen werden, 
die sich an der Erforderlichkeit und der Verhältnismäßigkeit 
orientieren. Ich habe mich mit der BGW dahin gehend geei- 
nigt, dass die BGW einige Fallgruppen von Datenübermitt- 
lungen an private Haftpflichtversicherer aufstellen wird, die 
sich jeweils an der Erforderlichkeit ausrichten. Die BGW 
hat zugesagt, wegen der gr undsätzlichen Bedeutung dieser 
Frage auch an den Hauptverband der gewerblichen Berufs- 
genossenschaften heranzutreten. 


26.4 Welche Daten sind zur Festsetzung 
der Beitragszahlungen erforderlich? 

Im Berichtszeitraum lagen mir mehrere Anfragen von am- 
bulanten Pflegediensten vor, ob die Praxis der zuständigen 
Berufsgenossenschaft, Berufsgenossenschaft für Gesund- 
heitsdienst und Wohlfahrtspflege (BGW), zulässig ist, nicht 
nur die nach dem SGB Vll erforderlichen Angaben, sondern 
darüber hinaus die Herausgabe der Arbeitsverträge und Ge- 
sellschaftsverträge zu verlangen. Nach der gesetzlichen Re- 
gelung der §§ 191, 192 SGB VII sind die Unternehmen ver- 
pflichtet, dem zuständigen Un fallversicherungsträger alle 
für die Festlegung der V ersicherungspflicht relevanten An- 
gaben zu machen und insbesondere jede Veränderung in den 
Gesellschaftsverhältnissen mitzuteilen. Die Regelung des 
§192 Abs. 3 SGB Vll, wonach dem Unfallversicherungs- 
träger auf Verlangen auch Beweisurkunden vorzulegen sind, 
steht unter dem allgemeinen Verhältnismäßigkeitsgrundsatz. 
Nach dem im Absatz 1 und 2 de r Vorschrift festgeschriebe- 
nen Regelfall enthält der Unfallversicherungsträger die für 
ihn erforderlichen Angaben durch die Mitteilung der Gesell- 
schafter. Dieses dem V erhältnismäßigkeitsgrundsatz ent- 
sprechende Verfahren würde durch eine generelle V orlage- 
pflicht eines Urkundsbeweises anstelle einer bloßen 
Mitteilung der Gesellschafter auf den Kopf gestellt. Ich 
kann mich zwar der Ar gumentation der BGW nicht ganz 
verschließen, wegen des hohen Anteils der Gesellschafts- 
form der GmbH und einer häufigen Änderung der Gesell- 
schaftsanteile seien in der Vergangenheit vielfach die Ände- 
rungsmitteilungen unterblieben. Die generelle Anforderung 
von Gesellschafts- und Arbeitsverträgen entgegen einer 
vom Verhältnismäßigkeitsgrundsatz getragenen gesetzli- 
chen Regelung scheint mir jedoch zu weit zu gehen, zumal 
das Problem der BGW bei möglichen V ertragsänderungen 
auch so nicht behoben ist. Ich habe der BGW ein klärendes 
Gespräch angeboten, um eine datenschutzfreundlichere Lö- 
sung zu finden, und werde mich weiterhin dafür einsetzen. 

26.5 Hilfe für den Staatsanwalt? 

Verschiedene Unfallversicherungsträger (UVT) waren von 
den jeweils zuständigen Staatsanwaltschaften aufgefordert 
worden, nach einem Arbeitsunfall eines Versicherten die Un- 
tersuchungsberichte des Technischen Aufsichtsdienstes her- 
auszugeben, wenn der V erdacht bestand, der Unfall könnte 
auf ein rechtswidriges T un oder Unterlassen eines anderen 
Beschäftigten zurückzuführen sein. Unter Berufung auf den 
Sozialdatenschutz hatten die UVT das Herausgabeverlan- 
gen abgelehnt, während die Staatsanwaltschaften eine Her- 
ausgabe nach den allgemeinen Übermittlungsnormen des 
Sozialgesetzbuches für zuläss ig erachteten. Dem Konflikt 
um die rechtliche Auslegung der datenschutzrechtlichen 
Vorschriften, die eine Herausgabe des Unfallberichts des 
Technischen Aufsichtsdienstes der Berufsgenossenschaften 
betreffen, liegen verschiedene und durchaus berechtigte In- 
teressen zugrunde. Für die Staatsanwaltschaften ist es sinn- 
voll, auf vorhandene Unterlagen zurückzugreifen, der ge- 
schädigte Arbeitnehmer hat möglicherweise ein Interesse an 
einer umfassenden Aufklärung, da er nach einer V erurtei- 
lung wegen Körperverletzung auf diese Feststellung einen 
Schmerzensgeldanspruch stützen kann. Der Beschuldigte 
hingegen mag befürchten, dass die Ermittlungen verfälscht 
werden, da der Unfalluntersu chungsbericht von juristischen 
Laien in einem andern Zusammenhang erstellt wurde und bei 
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Befragungen der Beschäftigten die Zeugen- und Beschuldig- 
tenrechte nach der Strafproze ssordnung nicht berücksichtigt 
werden. Die UVT ihrerseits sind für die gespeicherten Daten 
verantwortlich und haben die datenschutzrechtlichen V or- 
schriften zu beachten. 

Nach den abschließenden Übermittlungsnonnen des Sozial- 
gesetzbuches haben sich die UVT zu Recht geweigert, die 
Untersuchungsberichte des T echnischen Aufsichtsdienstes 
an die Staatsanwaltschaften herauszugeben. Die Übermitt- 
lungsnorm des § 69 Abs. 1 SGB X knüpft an gerichtliche 
Verfahren - einschließlich Strafverfahren — an, die mit der 
Erfüllung einer gesetzlichen Aufgabe nach dem Sozialge- 
setzbuch Zusammenhängen. Nur in diesen Fällen kann ein 
UVT die personenbezogenen Daten eines Versicherten wei- 
tergeben, wenn dies zur Erfüllung seiner gesetzlichen Auf- 
gabe erforderlich ist. Die Datenübermittlungsbefugnis setzt 
immer einen in dieser Vorschrift genannten Tatbestand vor- 
aus: Die Übermittlung muss für Zwecke erfolgen, für die die 
Daten erhoben worden sind, für eine Aufgabe der übermit- 
telnden Stellen nach dem Sozialgesetzbuch oder für die 
Aufgabe eines anderen Sozialleistungsträgers. Handelt es 
sich dagegen nicht um die Übermittlung zur Erfüllung einer 
Aufgabe nach dem Sozialgesetzbuch, ist § 69 SGB X nur 
anwendbar, wenn ein gerichtliches V erfahren anhängig ist. 
ln diesen Fällen werden die Anforderungen an die Über- 
mittlung von Sozialdaten an Ermittlungsbehörden und 
Staatsanwaltschaften dadurch verschärft, dass nach der Spe- 
zialregelung des § 73 SGB X die Datenübermittlung zur 
Durchführung eines Strafverfahrens durch einen Richter an- 
geordnet werden muss. Im Hinblick auf die besondere Sen- 
sibilität der durch das Sozial geheimnis geschützten Daten 
erachte ich diese erhöhte Schutzschwelle für sachgerecht. 

Um die UVT nicht dem Konflikt zwischen ihrer V erpflich- 
tung zum Schutz der Sozialdaten und dem Herausgabever- 
langen durch Staatsanwaltschaften, die zum T eil auch 
Durchsuchungs- und Herausgabebeschlüsse bei den Amts- 
gerichten erwirken konnten, auszusetzen, habe ich das Bun- 
desministerium für Arbeit und Sozialordnung um eine ge- 
setzliche Klarstellung gebeten. 

26.6 Sozialdaten in der Mülltonne? 

ln einem Einzelfall wurden mir Sozialdaten einer Versicher- 
ten mit sehr sensiblen me dizinischen Angaben und Prü- 
füngsunterlagen einer Mitarbeiterin einer Berufsgenossen- 
schaft mit einem anonym verfassten Begleitschreiben 
zugesandt. Der namentlich nicht genannte Einsender äußerte 
seine Sorge über den angeblich unsachgemäßen Umgang 
mit Daten durch die Bezirksverwaltung einer Berufsgenos- 
senschaft. Er gab an, dass er bereits mehrfach beobachtet 
habe, dass ein Mitarbeiter dieser Bezirksverwaltung, den er 
genau beschreiben konnte und dessen Autokennzeichen er 
nannte, ähnliche Schriftstücke in eine Mülltonne geworfen 
habe. 

Zur Klärung dieser V orkommnisse habe ich eine daten- 
schutzrechtliche Kontrolle in der betrof fenen Bezirksver- 
waltung durchgeführt. Im Ra hmen eines Gespräches ist 
nachvollziehbar dargelegt worden, dass sich der Verlust der 
Akte und der Prüfungsunterla gen nicht auf die Art und 
Weise zugetragen haben konnte, wie sie von dem Einsender 
der Unterlagen geschildert wurde. Es waren vielmehr deutli- 
che Anhaltspunkte dafür vorhanden, dass die Unterlagen 


von einem „Insider“ der Berufsgenossenschaft aus dem 
Büro eines Mitarbeiters entwendet worden waren. Eine An- 
zahl von Formulierungen in dem anonymen Schreiben 
spricht für eine persönliche Animosität gegen den gut er- 
kennbar skizzierten Mitarbeite r der Berufsgenossenschaft 
und die Absicht, diesem schaden zu wollen. 

Von einer Beanstandung wegen V erletzung des Sozialge- 
heimnisses bzw. unzureichender Sicherung von Personalun- 
terlagen habe ich in diesem Fall abgesehen. Zwar hätte die 
Bezirksverwaltung ihrer Verpflichtung, diese Daten nur Be- 
fugten zugänglich zu machen oder nur an diese weiterzuge- 
ben, in höherem Maße nachkommen müssen, zumal es sich 
auch um äußerst sensible Krankheitsdaten handelte. Die 
Entwendung der Unterlagen wurde durch die ungesicherte 
Aufbewahrung sehr erleichtert. Dennoch konnte die Berufs- 
genossenschaft mit dem Einsatz von beträchtlicher krimi- 
neller Energie nicht rechnen. Gegen eine solche Verhaltens- 
weise — insbesondere, wenn hieran möglicherweise auch ei- 
gene Mitarbeiter beteiligt sind - ist ein vollkommener 
Schutz kaum zu gewährleisten. Dieser Fall verdeutlicht, 
dass die datenschutzrechtliche Forderung nach ausreichen- 
den technischen und or ganisatorischen Sicherungsmaßnah- 
men zum Schutz von Daten für die Mitarbeiter , die diese 
Maßnahmen durchzuführen haben, nicht nur eine lästige 
Verpflichtung ist, sondern auch zu ihrem eigenen Schutz be- 
steht. Deshalb hat die Berufsgenossenschaft sofort nach Be- 
kanntwerden des Verlustes von Unterlagen durch entspre- 
chende Anweisungen sicher gestellt, dass in Abwesenheit 
eines Mitarbeiters dessen Zimmer stets verschlossen gehal- 
ten wird und die Akten auch innerhalb des Zimmers ver- 
schlossen aufbewahrt werden. Die Mitarbeiter der betrof fe- 
nen Bezirks Verwaltung der Berufsgenossenschaft haben 
durch die Erfahrung mit dem vor liegenden Einzelfall eine 
hohe Akzeptanz hinsichtlich der neu eingeführten Maßnah- 
men zum Schutz von Akten und Unterlagen gezeigt. 

27 Rehabilitations- und 

Schwerbehindertenrecht 

27.1 Bundesarbeitsgemeinschaft 

für Rehabilitation: Gemeinsame 
Empfehlungen zum Wohl 
des Versicherten 

Das Rehabilitations- und Schwerbehindertenrecht ist mit 
dem zum 19. Juni 2002 in Kraft getretenen SGB IX (BGBl. 

I 2001 S. 1046) neu geregelt worden. Dieses Gesetz gibt in- 
des nur einen Rahmen vor , um die Ziele des Gesetzgebers 
zu erreichen, nämlich die Zusammenarbeit der beteiligten 
Rehabilitationsträger zu sichern und Beratungen für behin- 
derte Menschen, Präventions ansätze oder erforderliche 
Leistungen im Einzelfall zu verbessern und aufeinander ab- 
zustimmen. Die konkreten Maßnahmen und auch die Date- 
nerhebungs- und Datenverarbeitungsschritte werden in den 
gemeinsamen Empfehlungen nach § 13 SGB IX von den be- 
teiligten Rehabilitationsträgem vereinbart. Diese Aufgabe, 
die gemeinsamen Empfehlungen zu einer V ielzahl von Re- 
gelungssachverhalten, wie beispielsweise zur Früherken- 
nung und Frühförderung behinderter Kinder oder zur 
Zusammenarbeit der Hausärzte mit Betriebsärzten, auszuar- 
beiten und den T rägern vorzuschlagen, wird von der Bun- 
desarbeitsgemeinschaft für Rehabilitation wahr genommen, 
die bereits seit vielen Jahren die gemeinsame Repräsentanz 
der Verbände der beteiligten Rehabilitationsträger und einer 
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Vielzahl anderer Stellen im Re habilitationsbereich ist. Im 
Rahmen meiner Beteiligung an der Erarbeitung der gemein- 
samen Empfehlungen habe ich mich immer - unter Berück- 
sichtigung der jeweiligen sachlichen Regelung - für die Be- 
achtung folgender datenschutzrechtlichen Grundsätze 
eingesetzt, um das informationeile Selbstbestimmungsrecht 
der behinderten Menschen in größtmöglichem Umfange zu 
gewährleisten: 

- Erforderlichkeitsgrundsatz 

Ein wesentlicher Grundsatz des allgemeinen Daten- 
schutzrechtes ist die Erforderlichkeit. Danach ist eine 
Offenbarung von personenbezogenen Angaben nur zu- 
lässig, wenn ohne die Erhebung, Verarbeitung oder Nut- 
zung der Daten eine Aufgabe nicht oder nicht sach- bzw. 
zeitgerecht erfüllt werden kann. Mit dieser datenschutz- 
rechtlichen Forderung soll vermieden werden, dass ein- 
zelne speichernde Stehen eine V ielzahl von Informatio- 
nen über einen Betrof fenen ansammeln, die zumindest 
zurzeit nicht benötigt werden. 

- Zweckbindung 

Personenbezogene Daten dürfen nur zu dem Zweck ver- 
arbeitet oder genutzt werden, zu dem sie erhoben bzw . 
gespeichert wurden und dieser Verwendungszweck muss 
für den Betroffenen klar erkennbar festgelegt sein. V on 
diesem Grundsatz sind Ausnahmen vor gesehen, wenn 
sie gesetzlich vor geschrieben sind, wie beispielsweise 
die Überprüfung der Angaben eines Betrof fenen, soweit 
dies zur Erfüllung einer Aufg abe des Sozialleistungsträ- 
gers erforderlich ist. Im Hinblich auf die im SGB IX 
festgelegte Zusammenarbeit verschiedener Leistungsträ- 
ger und anderer beteiligter Stehen ist zu beachten, dass 
dem Aspekt der V ertrauensbildung eine entscheidende 
Rolle zukommt. Ein behinderter Mensch wird einer Er- 
hebung oder Übermittlung seiner Daten eher und beru- 
higter zustimmen, wenn er genau weiß, zu welchem 
Zweck die Datenerhebung oder die Datenübermittlung 
erfolgt und er sich darauf ve rlassen kann, dass er nicht 
zu einem späteren Zeitpunkt in einem völlig anderen Zu- 
sammenhang mit diesen Daten konfrontiert wird. 

- Gesetzlich normierte Regelung 

Das Datenschutzrecht geht von der Grundkonzeption des 
Verbots mit Erlaubnisvorbehalt aus. Zur W ahiung des 
Persönlichkeitsrechts in der Form des informationellen 
Selbstbestimmungsrechts des Betroffenen ist für jede Er- 
hebung oder V erarbeitung personenbezogener Daten 
eine gesetzliche Grundlage erforderlich, die nach dem 
bekannten „Volkszählungsurteil“ normenklar sein muss. 
Das bedeutet, ein Gesetz, das Eingriffe in das informati- 
onelle Selbstbestimmungsrecht des Betroffenen vorsieht 
und damit auch eine Abwägung des Gesetzgebers zwi- 
schen diesem Recht und anderen schützenswerten Positi- 
onen wiedergibt, muss klar und für den Betrof fenen 
transparent aufzeigen, welche Datenverarbeitungs- 
schritte unter Berücksichtigung der datenschutzrechtli- 
chen Grundvorgaben zulässig sind. Da das SGB IX für 
eine Informationsverarbeitung lediglich einen Rahmen 
vorgibt, die inhaltliche Ausfüllung dieser Vorgaben aber 
den beteiligten Rehabilitationsträgern überlässt, müssen 
die dazu dienenden gemeinsamen Empfehlungen den 
Umfang des informationellen Selbstbestimmungsrechts 
und dessen Einschränkungen klar ergeben. 


- Einwilligung 

Das Datenschutzrecht kennt neben der gesetzlich nor- 
mierten Erlaubnis für die Erhebung, V erarbeitung oder 
Nutzung von Daten auch die Einwilligung des Betrof fe- 
nen als Erlaubnistatbestand. Im Sozialleistungsbereich 
kann dies aber nur beschränkt gelten. Die Erbringung 
von Leistungen kann nicht davon abhängig sein, dass der 
Versicherte - im Rahmen des SGB IX der behinderte 
Mensch - zugleich auch ohne Beschränkungsmöglich- 
keit in die Erhebung, V erarbeitung oder Nutzung seiner 
personenbezogenen Daten einwilligt. Dies könnte zu un- 
billigen Ergebnissen führen. Würde ein behinderter 
Mensch aufgrund datenschutzrechtlicher Bedenken 
seine Einwilligung zu eine r Rehabilitationsmaßnahme 
zur Erhaltung des Arbeitsplatzes oder zur T eilhabe am 
Leben nicht geben, würde er eine Sozialleistung, auf die 
er einen Anspruch hat, überhaupt nicht erhalten. Vor die- 
sem Hintergrund erscheint es sinnvoll, für bestimmte 
Rehabilitationsmaßnahmen im Rahmen gesetzlicher 
Vorgaben stärkere Mitwirkungs- und Gestaltungsrechte 
für die behinderten Menschen vorzusehen. 

Für die Beachtung dieser Grundsätze werde ich mich auch 
künftig bei der Formulierung weiterer gemeinsamer Emp- 
fehlungen einsetzen. 

27.2 Aufnahme der Arbeit der Servicestellen: 

Koordinierung der Sozialleistungsträger 

Die mit der Einordnung des SGB IX (BGBl. 1 2001 S. 1046) 
in das Sozialgesetzbuch erstmals eingerichteten Servicestel- 
len für behinderte Menschen haben nicht nur die Aufgabe, 
diese zu beraten und zu unter stützen, sondern sollen nach 
dem Wortlaut des Gesetzes auch die Tätigkeit der Sozial- 
leistungsträger koordinieren und deren Entscheidungen vor- 
bereiten. Vor diesem Hintergrund habe ich ein besonderes 
Augenmerk auf die Datenerhebungen und Datenübermitt- 
lungen bei der Tätigkeit der Servicestellen gelegt. In einem 
ersten sondierenden Gespräch mit der Bundesarbeitsge- 
meinschaft für Rehabilitation im Oktober 2001 habe ich 
mich über die Organisation und Aufgabenstellung der Ser- 
vicestellen informiert. Im Juni 2002 habe ich, nachdem die 
ersten Servicestellen ihre Arbeit zum 1 . Januar 2002 aufge- 
nommen hatten, drei Servicestellen in Berlin besucht. W e- 
der die geplante Or ganisation und Aufgabenstellung noch 
die in der Praxis umgesetzte Arbeitsweise begegnen 
schwerwiegenden datenschutzrechtlichen Bedenken. Die 
Servicestellen sollen nur auf Wunsch des behinderten Men- 
schen tätig werden. Auch für die weiteren Bearbeitungs- 
schritte ist stets ein Mandat des Betroffenen erforderlich. 
Nach der Planung sollen die Se rvicestellen auch Anträge, 
die das Verfahren eines anderen Leistungsträger betref fen, 
bearbeiten, ln diesen Fällen wären Abschottungsfragen da- 
tenschutzrechtlich zu prüfen, ln dem von mir beobachteten 
tatsächlichen Ablauf kommt dieser Fall jedoch nicht vor. Im 
Juni 2002 waren die Servicestellen nur von sehr wenigen 
behinderten Menschen in Anspruch genommen worden. Die 
Größenordnung lag bei ca. fünf bis 15 Personen. Die Arbeit 
der Servicestellen beschränkte sich in der Anlaufphase im 
Wesentlichen auf die Weiterleitung der gestellten Leistungs- 
anträge an die zuständigen Leistungsträger . Dabei handelte 
es sich ausschließlich um das Ausfüllen von Formularen; 
eine elektronische Datenverarbeitung wurde nicht benutzt. 
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Wegen der großen Bedeutung, die mit der Erhebung und 
Übermittlung von sensiblen Daten behinderter Menschen 
von und an verschiedene Stellen verbunden ist, werde ich die 
weitere Entwicklung der Or ganisation und der Aufgaben- 
stellung in den Servicestellen weiterhin im Auge behalten. 

28 Gesundheit 

28.1 Telematik im Gesundheitswesen 

Die Entwicklung im Gesundheitswesen ist im Berichtszeit- 
raum durch demographische Veränderungen, Fortschritte in 
medizinischer Forschung und T echnik und nicht zuletzt 
durch eine zunehmende europäische Integration und Globa- 
lisierung geprägt worden, ln meinem letzten Tätigkeitsbe- 
richt habe ich über die langsam anlaufenden Aktivitäten auf 
dem Gebiet der Gesundheitstelematik, worunter Anwendun- 
gen von Telekommunikation und Infor matik im Gesund- 
heitswesen zu verstehen sind, berichtet (Nr 25.1). Es ist also 
nicht weiter überraschend, dass dieses Thema inzwischen 
ein zentrales gesellschaftspolitisches Anliegen geworden ist, 
das auch im politischen Bereich große Aufmerksamkeit fin- 
det. Das Aktionsforum für Telematik im Gesundheitswesen, 
in dem Vertreter aller Selbstverwaltungspartner Zusammen- 
arbeiten, hat inzwischen so genannte Managementpapiere zu 
den Themen elektronisches Rezept, elektronischer Arztbrief, 
Sicherheitsinfrastruktur und internationale Perspektiven von 
Telematik beschlossen. Diese Papiere enthalten eine Be- 
standsaufnahme der Ist-Situ ation, beschreiben den Hand- 
lungsbedarf und zeigen auch Lösungsansätze auf. Eine Um- 
setzung dieser Vorschläge ist jedoch noch nicht erfolgt. 

Der Einsatz moderner Info rmationstechnologie soll die 
Qualität der medizinischen Versorgung optimieren, patien- 
tenorientierte Angebote verbessern und Wirtschaftspotenzi- 
ale im Gesundheitswesen erschließen. Vorgesehen ist somit 
eine Leistungsverbesserung bei gleichzeitiger Effienzsteige- 
rung und Kostenreduzierung, und alles soll insgesamt zum 
Wohle und Nutzen der Patienten sein. Vor dem Hintergrund 
des allgemeinen Misstrauens gegenüber dem Einsatz neuer 
Techniken wird über Erfolg oder Misserfolg des Einsatzes 
von Infonnationstechnik im Gesundheitswesen die Akzep- 
tanz bei den Menschen entscheiden. Die Patienten müssen 
sich mit ihren Daten im Netz eines modernen Gesundheits- 
wesens geborgen fühlen, sie dürfen nicht den Eindruck ha- 
ben als seien sie Objekte, die in diesem Netz gefangen sind. 
Aus Sicht des Datenschutzes ist ein entscheidender Punkt, 
dass die Patienten nicht schlechter gestellt werden dürfen 
als sie vorher standen. W enn alles nur dem W ohle der Pati- 
enten dienen soll, dann darf sich auch deren datenschutz- 
rechtliche Position nicht verschlechtern. Der Patient ist bis- 
lang Herr seiner Daten und da s muss auch so bleiben. Das 
bedeutet, dass die Patienten - im Rahmen der gesetzlichen 
Vorschriften — über eine T eilnahme an und einen Ausstieg 
aus einem Projekt selbst entscheiden können müssen. Wenn 
die Akzeptanz für die neuen T echniken vorhanden ist, weil 
die Patienten die sich für si e ergebenden Vorteile erkennen, 
werden sie sich auch freiwillig beteiligen. 

ln einer „Gemeinsamen Erklärung des Bundesministeriums 
für Gesundheit und der Spitzenor ganisationen zum Einsatz 
von Telematik im Gesundheitswesen“ vom 3. Mai 2002 
(s. Anlage 29) haben sich alle Partner für einen verstärkten 
Einsatz von Telematikanwendungen ausgesprochen. Die Er- 
klärung enthält auch die Aussage, dass Modellversuche nur 


unter strenger Beachtung des Datenschutzes und des Selbst- 
bestimmungsrechts der Patienten durchgeführt werden dür- 
fen. Es besteht ferner Einigkeit, dass die mit dem Ausbau zur 
Gesundheitskarte verbundene Speicherung und Verarbeitung 
von Gesundheitsdaten als freiwilliges Angebot an die V ersi- 
cherten zu gestalten ist. Schließlich finden sich in dieser Er- 
klärung meine zentralen datenschutzrechtlichen Forderun- 
gen, an denen sich alle vor gesehenen Vorhaben messen 
lassen müssen. Sie lassen sich wie folgt zusammenfassen: 

- Die Datenhoheit der Patienten und der Grundsatz der 
Freiwilligkeit der Speicherung von Gesundheitsdaten 
müssen bewahrt werden. 

- Die Patienten müssen darüber entscheiden können, wel- 
che ihrer Gesundheitsdaten aufgenommen und welche 
gelöscht werden. 

- Die Patienten müssen darüber entscheiden können, ob 
und welche Daten sie einem Leistungserbringer zugäng- 
lich machen. 

- Es dürfen keine zentral gespeicherten Datensammlungen 
über Patienten entstehen. 

- Die Patienten müssen das Recht haben, die über sie ge- 
speicherten Daten zu lesen. 

- Die Verwendung der gespeicherten Patientendaten muss 
sich innerhalb des gesetzlichen Rahmens unter Wahrung 
des bestehenden Schutzniveaus (z. B. Beschlagnahme- 
schutz in der Arztpraxis) bewegen. 

Diese datenschutzrechtlichen Parameter gilt es bei der Ein- 
führung telematischer Anwendungen zu erfüllen, gleichgül- 
tig ob es sich um das elektronische Rezept, die Gesundheits- 
karte oder die elektronische Patientenakte handelt. 

28.2 Elektronisches Rezept - Wie kommt 
das Rezept zur Apotheke? 

Das elektronische Rezept soll nach übereinstimmender Auf- 
fassung aller in diesem Bereich tätigen Akteure den Einstieg 
in die Gesundheitstelematik bilden. Die Gründe für diese 
dem elektronischen Rezept zugedachte Schuhlöffelfunktion 
liegen in erster Linie in de m enormen finanziellen Einspa- 
rungspotenzial, das bei jährlich durchschnittlich 600 Millio- 
nen Rezepten mit 900 Millionen Verordnungen im Wert von 
über 20 Milliarden Euro erwartet wird. Darüber hinaus 
dürfte dieses Projekt - im V ergleich zu anderen telemati- 
schen Vorhaben - bei den Patienten leichter zu vermitteln 
sein und damit auf die erforderliche Akzeptanz stoßen. Un- 
geachtet dieser positiven \brzeichen ist aber im Berichtszeit- 
raum der entscheidende Durchbruch noch nicht gelungen. 

Bereits in meinem letzten Tätigkeitsbericht habe ich die 
mögliche technische Ausges taltung eines elektronischen 
Rezepts ausführlich beschrieben (s. Nr . 25.1.3). Unverän- 
dert sind zwei Grundmodelle im Gespräch, die sich wie 
folgt kurz zusammenfassen lassen: 

1 . Das Rezept wird auf einer Chipkalte gespeichert, auf der 
neben der aktuellen Verschreibung auch weitere Rezepte 
gespeichert werden können. Die Chipkarte bleibt im Be- 
sitz des Patienten, sodass nurmit dessen Einwilligung der 
Apotheker oder der Arzt auf den Inhalt zugreifen können. 

2. Der Arzt übermittelt das Rezept elektronisch an einen 
speziellen Server, auf den — neben den Ärzten - auch 
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Apotheker zugreifen können. Der Patient bekommt als 
Beleg seiner Verschreibung weiterhin ein Papierformular 
ausgehändigt, auf dem ein Barcode aufgebracht wird, 
der eindeutig auf das elektronische Rezept verweist. Der 
Zugriff auf das Rezept erfolgt in der Apotheke nunmehr 
über eine Netzwerkverbindung zu diesem Server mit- 
hilfe des eindeutigen Barcodes. Ein typisches Beispiel 
für diese Konzeption stellt das „Kölner Modell“ dar. 

Aus datenschutzrechtlicher Sicht sind beide Modelle akzep- 
tabel, wenn die erforderlichen technisch-or ganisatorischen 
Maßnahmen ergriffen werden, um die medizinischen Daten 
sicher zu verarbeiten. Bei dieser Verarbeitung müssen insbe- 
sondere die V ertraulichkeit, Authentizität, Integrität und 
Verfügbarkeit der Daten des elektronischen Rezepts sicher- 
gestellt sein. Hierzu sind einerseits elektronische Signaturen 
und andererseits die kryptographische Speicherung der Da- 
ten notwendig. Von einer Verschlüsselung könnte nur abge- 
sehen werden, wenn es gelänge, eine anonymisierte V erar- 
beitung der Daten einzuführen. Grundvoraussetzung ist 
ferner auf jeden Fall die Einführung einer so genannten 
„Health Professional Card“, die eine eindeutige Identifizie- 
rung eines Arztes bzw. eines Apothekers sowie deren jewei- 
lige Zugriffsberechtigungen gewährleistet. 

Die Einführung des elektronischen Rezepts betrif ft die Er- 
hebung und Verarbeitung von Gesundheitsdaten, die nach 
§ 3 Abs. 9 BDSG personenbez ogene Daten besonderer Art 
und deshalb besonders schutzwürdig sind. Jede Erhebung 
oder Verarbeitung dieser Daten bedarf entweder der Einwil- 
ligung des Betrof fenen oder einer gesetzlichen Legitima- 
tion. Diese Voraussetzung gilt natürlich auch für die her- 
kömmliche Verarbeitung dieser Daten auf Papierrezept. Die 
Offenlegung der personenbezogenen Daten gegenüber dem 
Apotheker erfolgt derzeit auf der Grundlage der freiwilligen 
Entscheidung des Patienten, in einer von ihm ausgewählten 
Apotheke die ärztliche Verordnung bedienen zu lassen. An 
dieser freiwilligen Entschei düng des Patienten sollte sich 
auch durch die Einführung des elektronischen Rezepts 
nichts ändern. Ich werde die in absehbarer Zeit zu erwarten- 
den Modellversuche aufmerksam begleiten. 

28.3 Elektronische Gesundheitskarte 
für alle Bürger? 

Das Bundesministerium für Gesundheit (BMG) hat Ende 
2001 infolge des Lipobay-Skandals, bei dem zahlreiche Pa- 
tienten wegen bis dahin unbekannter Nebenwirkungen die- 
ses Medikaments starben, eine Projektgruppe „Gesundheits- 
pass“ eingerichtet mit dem Auftrag, Eckpunkte für einen 
elektronischen Gesundheitspass zu erarbeiten. Ziele des 
Passes waren insbesondere: 

- die Verbesserung der Qualit ät der medizinischen Be- 
handlung, besonders der Arzneimittelsicherheit; 

- Stärkung der Eigenverantwortung und -initiative der Pa- 
tienten; 

- Optimierung von Arbeitsprozessen und 

- Beitrag zur Wirtschaftlichkeit und Leistungstransparenz. 

Das Konzept des Gesundheitspasses sah im W esentlichen 
vor, dass wichtige Gesundheits - und Notfalldaten von Pati- 
enten, verordnete Arzneimittel und Selbstmedikation, Hin- 
weise auf bereits erfolgte Untersuchungen, die technischen 
Voraussetzungen zur papierlosen Übermittlung von Rezep- 


ten und Arztbriefen sowie die Daten der bisherigen Kran- 
kenversichertenkarte in eine multifunktionale Mikroprozes- 
sorkarte integriert werden. Gl eichzeitig sollte dieser Pass 
auch eine Schlüssel- und Pointerfunktion erhalten, um Da- 
ten auf Servern speichern und einiesen zu können. Die Nut- 
zung des Gesundheitspasses durch die V ersicherten sollte 
auf freiwilliger Basis erfolgen. 

Die Datenschutzbeauftragten des Bundes und der Länder 
haben sich in ihrer 62. Konferenz mit den datenschutzrecht - 
lichen Anforderungen an eine Medikamentenchipkarte be- 
fasst (s. Entschließung, Anlage 21). Dabei wurde als grund- 
legende Voraussetzung der Grundsatz der Freiwilligkeit 
hervorgehoben, um die freie und unbeeinflusste Entschei- 
dung der Patienten über Einsatz und V erwendung der Karte 
zu gewährleisten. 

In der „Gemeinsamen Erklärung des BMG und der Spitzen- 
organisationen zum Einsatz von Telematik im Gesundheits- 
wesen“ vom 3. Mai 2002 (s. Nr. 28.1) hat das BMG erklärt, 
die jetzige Krankenversichert enkarte künftig auch zusätz- 
lich als Gesundheitskarte anbi eten zu wollen. Diese Ge- 
sundheitskarte solle auch Werkzeug für den datengeschütz- 
ten Zugriff auf personenbezogene Gesundheitsdaten sein. 
Sie solle den europäischen No tfalldatensatz des Patienten, 
seine persönliche Identifikation/Authentifizierung sowie 
Verweisfünktionen u. a. au f die Arzneimitteldokumentation 
und das elektronische Zuzahlungsmanagement des Patienten 
enthalten. Erfreulicherweise hat das BMG die Gesundheits- 
karte als freiwilliges Angebot an die V ersicherten vorgese- 
hen. Positiv zu betonen ist ferner die volle Übereinstim- 
mung des BMG mit meinen datenschutzrechtlichen 
Anforderungen, die in dieser Erklärung enthalten sind. 

Die Absicht des BMG zur Einführung eines Gesundheits- 
passes findet auch ihren Niederschlag im Koalitionsvertrag 
zwischen SPD und BÜNDNIS 90/DIE GRÜNEN vom 
16. Oktober 2002. Dort wird bekräftigt, dass zur Erhöhung 
der Transparenz und der Sicherung von W irtschaftlichkeit 
und Effizienz im System auf freiwilliger Basis eine Gesund- 
heitskarte eingeführt werden soll. Diese soll vor unnötigen 
Doppeluntersuchungen schützen, unerwünschte Arzneimit- 
telnebenwirkungen schneller erkennen lassen und die Da- 
tensicherheit stärken. Sie soll die Notfalldaten enthalten und 
über erforderliche Vorsorgeuntersuchungen informieren. Da 
die Patienten Anspruch auf vollständige Informationen hät- 
ten, soll auch eine Patientenquittung eingeführt werden, mit 
der die Behandlungen nachvollzogen werden können. 

Diese politischen V orgaben an die Einführung eines Ge- 
sundheitspasses erscheinen da tenschutzrechtlich ausgewo- 
gen. An ihrer Umsetzung werde ich wie in der V ergangen- 
heit konstruktiv mitwirken. 

28.4 Elektronische Patientenakte - Schneller, 
besser, billiger? 

Eine wichtige Rolle bei den Überlegungen, die Kostensteige- 
rung im Gesundheitswesen zu reduzieren und gleichzeitig zur 
Verbesserung der Qualität der medizinischen V ersorgung 
beizutragen, spielt die Einfühlung einer elektronischen Patien- 
tenakte (EPA) oder auch el ektronischen Gesundheitsakte. 
Dabei geht es um mehr als um die bloße Ersetzung einer 
papiergebundenen ärztlichen Dokumentation durch eine in- 
formationstechnologische Speicherung der Patientendaten. 
Der Begriff „Elektronische Pati entenakte“ wird vielmehr in 
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unterschiedlichen Ausprägungen verwendet. Zum einen wird 
unter einer EPA eine Sammlung medizinischer Informationen 
zu einem Patienten innerhalb einer Institution auf digitalen Da- 
tenträgern verstanden. Dies kann die Krankenakte über einen 
Patienten in einem Kr ankenhaus sein, aber auch die ärztliche 
Dokumentation in einer Praxis. Zum anderen wird der Begriff 
aber zunehmend auch werbewirksam von kommerziellen An- 
bietern benutzt. Sie bieten an, medizinische Daten über eine 
Person über das Internet zur Erarbeitung oder/und zum Abruf 
durch einen Arzt, ein Krankenhaus etc. bereitzuhalten. 

Im Rahmen der Diskussion der Reform im Gesundheitswesen 
ist unter dem Begriff EPA die jederzeit verfügbare, instituti- 
onsübergreifende und unter Kontrolle des Patienten und (ei- 
nes) Arztes befindliche Kopie aller relevanten Daten der 
Krankengeschichte zu verstehen. Auf der Basis dieser Defini- 
tion wurden von verschiedene n Gruppen Konzepte entwi- 
ckelt, die einerseits die Vorteile der informationstechnischen 
Verarbeitung medizinischer Daten nutzen und andererseits 
durch den Einsatz datenschutzfreundlicher Techniken die Da- 
tensicherheit für diese Infonnationen gewährleisten wollen. 

Für die Verarbeitung personenbezogener Patientendaten im 
Rahmen einer EP A gelten grundsätzlich die allgemeinen 
rechtlichen Rahmenbedingungen, die auch für die Verarbei- 
tung personenbezogener Patientendaten außerhalb telemedi- 
zinischer Anwendungen gelten. Die Einführung der elektro- 
nischen Verarbeitung von Gesundheitsdaten darf nicht zu 
einer rechtlichen oder faktischen Verschlechterung der Pati- 
entenrechte führen. Dies bedeut et andererseits aber auch, 
dass der Arzt unverändert entsprechend seiner Berufsord- 
nung verpflichtet bleibt, die erforderlichen Aufzeichnungen 
über die in Ausübung seines Berufes gemachten Feststellun- 
gen und getrof fenen Maßnahmen anzufertigen. Die jedem 
Arzt obliegende Dokumentationspflicht wird durch die Ein- 
führung einer EPA nicht tangiert. 

Die Durchsetzung bzw. Konkretisierung der Patientenrechte 
unter den veränderten technischen Bedingungen bedarf teil- 
weise neuer datenschutzrech tlicher Konzepte. Auf jeden 
Fall müssen zur Verwirklichung der Patientenrechte beson- 
dere technische Maßnahmen er griffen werden. Die techni- 
sche Grundkonzeption aller EPA-Modelle geht dabei von ei- 
ner Kombination einer Chipkalte mit Schlüsselfunktion zur 
Verschlüsselung und Authentisierung und einem gesicher- 
ten Zugang entweder zu verschlüsselten oder zu pseudony- 
misierten Daten aus. Mit diesen Maßnahmen soll sicher ge- 
stellt werden, dass 

- ein Zugang zur EPA technisch nur mit den beiden Chip- 
karten des Arztes und des Patienten und der Einwilli- 
gung des Patienten überhaupt möglich ist, 

- das technische System es ermöglicht, die Einwilligung auf 
einzelne Ärzte oder Krankenhäuser zu beschränken und 

- ein Widerruf sowie — auf W unsch des Patienten - auch 
die Löschung aller Daten jederzeit möglich ist. 

Die bekannten Modelle untersc heiden sich hauptsächlich 
darin, dass der Speicherplatz de r Daten variiert; es ist dies 
entweder die Chipkarte des Patienten oder ein zentraler oder 
regionaler Server. Unterschiedlich ist auch der Umfang der 
medizinischen Daten in der EPA, die z. B. den Arztbrief, das 
Rezept oder Röntgenaufnahmen enthält. Der Zugang zu den 
medizinischen Daten steht allerdings immer unter der Prä- 
misse, dass keine Daten des Patienten aus dem System ge- 


langen und damit von Unbefugten gelesen werden können. 
Dadurch ist gewährleistet, dass der Patient den Zugang zu 
seinen Daten auch gegenüber Ärzten kontrollieren kann. 
Eingeschränkt wird dieser Zugang des Patienten in manchen 
Modellen dadurch, dass für den Zugang auch ein Arzt benö- 
tigt wird. Die Speicherung der medizinischen Daten erfolgt 
in der Regel in pseudonymisierter Form, wobei technisch 
der Zugang zu den Daten mithilfe von Verschlüsselungsver- 
fahren sichergestellt wird. Die datenschutzrechtliche Grund- 
konzeption bei der Realisierung einer EP A enthält eine 
Reihe von Sicherheitszielen, die von Systemen zur medizi- 
nischen Datenverarbeitung gewährleistet werden müssen. 
Dazu zählen insbesondere die Vertraulichkeit, die Authenti- 
zität oder auch Zurechenbarkeit der Daten zu einem Verant- 
wortlichen, die Integrität und Verfügbarkeit der Daten. Fer- 
ner ist die Revisionsfähigkeit und V alidität der Daten zu 
gewährleisten und Rechtssicherheit für jeden Verarbeitungs- 
vorgang sicherzustellen. 

Zur Festlegung dieser Eckpunkte bei der V erarbeitung von 
medizinischen Daten in elektronischen Patientenakten habe 
ich mich im Berichtszeitraum an einer Arbeitsgruppe des 
Arbeitskreises „Technische und or ganisatorische Daten- 
schutzfragen“ der Datenschutzbeauftragten des Bundes und 
Länder beteiligt, die die Anforderungen in einem W erkpa- 
pier zusammengestellt hat. Diese Zusammenstellung „Da- 
tenschutz und T elemedizin - Anforderungen an Medizin- 
netze“ kann unter meiner Webadresse im Internet abgerufen 
werden. 

28.5 Genomanalysen - die neue 

Herausforderung für den Datenschutz 

Durch den technischen Fortschritt, den die Medizin auf dem 
Gebiet der molekular genetischen Forschung in den letzten 
Jahren gemacht hat, stellen sich immer neue Fragen hin- 
sichtlich Bedeutung und Auswirkungen von heute schon 
technisch möglichen Gentests. Genetische Daten - darunter 
fallen alle Infonnationen über das Erbgut eines Menschen - 
besitzen eine Reihe von Eigenschaften, die dazu führen, 
dass ihr Schutz vor missbräuchlicher V erwendung beson- 
ders schwierig, gleichzeitig aber auch in besonderer W eise 
erforderlich ist, um Persönlichkeitsrechtsverletzungen - von 
der Stigmatisierung bis hin zur Kündigung von Arbeitsver- 
hältnissen oder zum Ausschluss von Versicherungsmöglich- 
keiten - zu verhindern. 

Bereits in meinem 18. TB (Nr. 25.2) habe ich dem Gesetzge- 
ber empfohlen, den Bereich der molekulargenetischen Analy- 
sen umfassend zu regeln. Dabei sollten sowohl die einschlä- 
gigen Bereiche, in denen sch on heute Gentests eine Rolle 
spielen bzw. spielen könnten, wie Medizin und Forschung, 
als auch die der Arbeitsverhältnisse und V ersicherungen um- 
fassend geregelt werden. V ordringlich wäre allerdings die 
Schaffung eines gegen jedermann gerichteten, ausdrücklichen 
und strafbewehrten V erbotes, ohne besondere Befugnis die 
Analyse des Genoms eines A nderen durchzuführen oder 
durchführen zu lassen oder Er gebnisse der Analyse des Ge- 
noms eines Anderen zu verarbeiten und zu nutzen. Denn 
durch die Einführung moderner Testmethoden reichen die 
vorhandenen rechtlichen Ra hmenbedingungen nicht mehr 
aus, um deren Auswirkungen wirksam lenken zu können. 

Das zuständige BMJ hielt es allerdings für problematisch, 
eine solche Norm losgelöst von der Entscheidung über den 
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Umfang und über die V erwendungsweise von Gentests in 
den einschlägigen Bereichen zu entwickeln. Deshalb sollte 
der Bericht einer vom Deutsc hen Bundestag eingesetzten 
Kommission „Recht und Ethik der modernen Medizin“ ab- 
gewartet werden, der sich inte nsiv mit der Frage nach dem 
Umgang mit molekulargenetischen Analysen und den dar- 
aus resultierenden Problemfeldern beschäftigt. 

Dieser Schlussbericht liegt inzwischen vor Die Kommission 
ist darin nahezu auf alle re levanten Fragestellungen einge- 
gangen und hat sich - gerade im Hinblick auf das Recht auf 
informationelle Selbstbestimmung - meiner Position, die 
sich in einer entsprechenden Entschließung der 62. Konfe- 
renz der Datenschutzbeauftragten des Bundes und der Län- 
der aus dem Oktober 2001 wiederfindet (s. Anlage 19), an- 
geschlossen. 

Die Diskussion über den Bereich der Gentests sollte aber 
nicht mehr nur auf nationaler Ebene, sondern aufgrund der 
länderübergreifenden Auswirkungen der technischen Neue- 
rungen auch auf europäischer Ebene behandelt werden. Da- 
her habe ich wegen der grundsätzlichen Bedeutung der The- 
matik die Diskussion in der Brüsseler Datenschutzgruppe 
nach Artikel 29 der EG-Richtlinie bereits angestoßen. 

28.6 Fragen zum Umgang mit Patientendaten 

Im Berichtszeitraum haben mich verstärkt Eingaben er- 
reicht, die zum einen ganz praktische Probleme im Umgang 
mit Patientendaten - nämlich die Aufbewahrung von Kran- 
kenunterlagen - und zum anderen auch den fortschreitenden 
Einsatz von Infonnationstechnik in der täglichen Praxis der 
Arztpraxen, z. B. in der Arztkommunikation, betreffen. 

So ist vielen Patienten unkla r, wie und vor allem wie lange 
Krankenunterlagen über sie aufgehoben werden müssen und 
wie es sich mit ihren Einsichtsrechten in diese Unterlagen 
verhält. Auf diese Fragen ge ben die jeweiligen Berufs- 
ordnungen der Ärzte Auskunft, die im Grundsatz auf der 
Musterberufsordnung für Ärztinnen und Ärzte (MBO-Ä 
von 1997, letztmalig geändert durch die Beschlüsse des 
105. Deutschen Ärztetages 2002) beruhen. Rechtswirkung 
entfalten diese Regelungen allerdings erst, wenn sie von den 
einzelnen Kammerversammlungen der Ärztekammern als 
Satzung beschlossen und von den zuständigen Aufsichtsbe- 
hörden genehmigt werden. Nach § 10 Abs. 1 MBO-Ä hat 
der Arzt die in Ausübung seines Berufes gemachten Fest- 
stellungen und getroffenen Maßnahmen zu dokumentieren. 
Diese Aufzeichnungen dienen ni cht nur dem Arzt als Ge- 
dächtnisstütze, sie dienen auch dem Patienten als Dokumen- 
tationen der ärztlichen Be handlung. Diese Dokumentatio- 
nen sind gern. § 10 Abs. 3 MBO-Ä mindestens zehn Jahre 
nach Abschluss der Behandlung aufzubewahren, es sei 
denn, andere gesetzliche V orschriften regeln eine längere 
Aufbewahrungsfrist. Werden diese Dokumentationen auf 
elektronischen Datenträgern oder anderen Speichermedien 
aufgezeichnet, so hat der Arzt nach § 10 Abs. 5 MBO-Ä be- 
sondere Sicherungs- und Schutzmaßnahmen zu tref fen, um 
deren Veränderung, Vernichtung oder unrechtmäßige V er- 
wendung zu verhindern. Nach § 10 Abs. 2 MBO-Ä hat der 
Arzt dem Patienten auf dessen Verlangen grundsätzlich Ein- 
sicht in die ihn betref fenden Krankenunterlagen zu gewäh- 
ren. Die MBO-Ä nimmt allerdings subjektive Eindrücke 
oder Wahrnehmungen des Arztes - im Gegensatz zu ver- 
schiedenen tatsächlich von den Ärztekammern umgesetzten 


Berufsordnungen - von der Einsichtnahme aus. Der Patient 
muss daher im Zweifelsfall die für ihn gültige Berufsord- 
nung zu Rate ziehen. 

Bei den Ärzten unter den Petenten ist die Unsicherheit über 
die datenschutzgerechte Nutzung neuer Informationstech- 
nologien in der Kommunikation spürbar , denn im privaten 
Bereich nimmt der Infonnati onsaustausch zwischen den 
Bürgern per E-Mail rasant zu, vielen Ärzten ist aber unklar , 
ob und unter welchen Voraussetzungen z. B. Arztbriefe oder 
andere patientenbezogene medizinische Infonnationen über 
das Internet versandt werden dürfen bzw . wie diese hierbei 
zu schützen sind. 

Zu den Fragen nach den datenschutzrechtlichen Anforde- 
rungen an den Einsatz moderner Infonnationstechnologie 
bei der Kommunikation kann ich nur grundsätzlich auf das 
Erfordernis besonderer Sicherheitsmaßnahmen bei der Ver- 
arbeitung medizinischer Daten verweisen. Die Gefahr des 
Datenmissbrauchs in elektronischen Netzen ist mittlerweile 
allgemein bekannt. Deshalb ist zumindest der Einsatz einer 
Verschlüsselung und der digitalen Signatur der Daten zwin- 
gend erforderlich. Durch geeignete Sicherungsmaßnahmen 
kann das Risiko eines unbefugten Zugrif fs auf diese Daten 
allerdings nur verringert we rden, gänzlich auszuschließen 
ist ein Missbrauch in of fenen Netzen, wie z. B. dem Inter- 
net, jedoch nicht. 

28.7 Einzelfragen aus dem Düsseldorfer Kreis 

28.7.1 Chip mit Altersangabe für Zigarettenkauf 
an Automaten 

Zigarettenautomaten sollen künftig für Jugendliche unter 
16 Jahren gesperrt werden. Das am 23. Juli 2002 verkündete 
neue Jugendschutzgesetz (BGBl. I S. 2730 ff.) sieht in § 10 
Abs. 2 vor, dass aus Gründen des Jugendschutzes Tabakwa- 
ren in der Öffentlichkeit nicht mehr in Automaten angebo- 
ten werden dürfen. Dieses Verbot soll jedoch dann nicht gel- 
ten, wenn durch „technische V orrichtungen“ in Automaten 
sichergestellt ist, dass Kinder und Jugendliche unter 16 Jah- 
ren Tabakwaren nicht entnehmen können. Um den betroffe- 
nen Unternehmen die Möglichke it zu geben, die techni- 
schen Voraussetzungen zu scha ffen, tritt diese V orschrift 
nach einer Übergangsfrist von viereinhalb Jahren am 1 . Ja- 
nuar 2007 in Kraft. 

Vor diesem Hinteigrund hat der Bundesverband Deutscher Ta- 
bakwaren-Großhändler und Automatenaufsteller e. V. ein Be- 
ratungsuntemehmen beauftragt, eine Lösung zu erarbeiten. 
Man favorisierte die Aufbringu ng eines Altersmerkmals auf 
der kontogebundenen Geldkarte, die nach einer Altersauthen- 
tifizierung auf der Geldkarte denKauf von Zigaretten mit Bar- 
geld oder bargeldlos durch Abrechnung über das Konto er- 
möglichen sollte. Der Zentrale Kreditausschuss entwickelte 
ein technisches Konzept zur Aufbringung der notwendigen 
Merkmale auf der Geldkarte. Sowohl die originär zuständige 
Datenschutzaufsichtsbehörde, die Landesdatenschutzbeauf- 
tragte Nordrhein- Westfalen, als auch der Düsseldorfer Kreis 
sind frühzeitig in die Beratungen über das geplante Verfahren 
einbezogen worden. Die Datenschutzaufsichtsbehörden sahen 
einen erheblichen Gesprächsbedarf zu diesem Thema, nicht 
zuletzt wegen der neuen Regelung über mobile personenbezo- 
gene Speicher- und Verarbeitungsmedien in § 6c BDSG mit 
seinen Verpflichtungen zur Unterrichtung, zur Bereithaltung 
der für die Wahrnehmung des Auskunftsrechts erforderlichen 
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Geräte und Einrichtungen und der Verpflichtung, den Betrof- 
fenen eindeutig Kommunikationsvorgänge erkennbar zu ma- 
chen, die auf dem Medium eine Datenverarbeitung auslösen. 
Von besonderer datenschutzrechtlicher Bedeutung war das 
vorgesehene Altersmerkmal auf der Chipkarte, das als perso- 
nenbezogenes Datum der Einwil ligung der Betrof fenen be- 
darf, und die Frage der V erantwortlichkeit für diese Zusatz- 
funktion auf der Geldkarte. 

Nach intensiven Beratungen der Beteiligten mit den Daten- 
schutzaufsichtsbehörden und mehrmaliger Überarbeitung 
des technischen Konzeptes hat man sich nunmehr auf ein 
Verfahren geeinigt, gegen das keine datenschutzrechtlichen 
Bedenken mehr bestehen. Nach diesem Verfahren wird die 
kontogebundene Geldkalte mit einem „Legitimationsver- 
merk“ versehen, der zum Zigarettenkauf an Automaten be- 
rechtigt. Diesen V ermerk erhalten die Karteninhaber auf 
ihre Chipkarte, die das 18. Lebensjahr vollendet haben. Die- 
ser Vermerk ist ohne jegliches Datum, sodass eine Perso- 
nenbeziehbarkeit nicht vorhanden ist und es einer Einwilli- 
gung des Karteninhabers zur Aufbringung auf die Chipkarte 
nicht bedarf. Lediglich bei minderjährigen Karteninhabern 
erhält der V ermerk das versch lüsselte Datum, an dem der 
Karteninhaber volljährig wird. Von diesem Datum aus kann 
das Lesegerät zurückrechnen und überprüfen, ob der Inha- 
ber der Karte bereits 16 Jahr e alt ist und dementsprechend 
den Zugang zu dem Automaten eröffnen oder verweigern. 
Die Einholung der datenschutzrech tlich erforderlichen Ein- 
willigung zu der Aufbringung des Datums auf der Geldkalte 
bei minderjährigen Kunden erfolgt mit dem Antragsformu- 
lar bei der Kontoeröffnung. 

Insgesamt ist dies ein Beispiel für gute Zusammenarbeit 
zwischen Unternehmen und Datenschutzbehörden im V or- 
feld technischer Investitionen. 

28.7.2 Anforderungen von OP-Protokollen durch 
private Krankenversicherer 

Im Berichtszeitraum beschwerten sich Patienten bzw. Ärzte 
über die pauschale Anforderung von OP-Protokollen durch 
private Krankenversicherer. Eine solche Anforderung eines 
OP -Protokolls darf nur erfolgen, wenn eine entsprechende 
Datenerhebung auch erforderlich ist. Sie muss sich aus den 
Gründen des Einzelfalles, z. B. bei konkreten Zweifeln an 
der Abrechnung, ergeben. Die zuständige Datenschutzauf- 
sichtsbehörde erhielt von der betroffenen Krankenversiche- 
rung die Auskunft, dass Anforderungen von OP-Protokollen 
nur in seltenen Einzelfällen vor genommen würden, wenn 
sie zur Feststellung der Leistungspflicht des Versicherers er- 
forderlich seien. Im Er gebnis war daher festzustellen, dass 
eine pauschale Anforderung von OP-Protokollen nach über- 
einstimmender Auffassung von Datenschutzaufsichtsbehör- 
den und der betroffenen Versicherung nicht zulässig ist. 

28.7.3 Apotheken-CD 

Zur Abwicklung der Kostenerstattung der von den gesetzlich 
Krankenversicherten eingereichten Rezepte mit den Kran- 
kenkassen schalten Apotheken vielfach Apotheken-Rechen- 
zentren ein. Hierfür bietet § 300 Abs. 2 SGB V die Rechts- 
grundlage. ln der bis zum 15. Februar 2002 gültigen Fassung 
der Vorschrift hieß es im Wbrtlaut: „Die Apotheken und wei- 
tere Anbieter von Arzneimitteln können zur Erfüllung ihrer 
Verpflichtungen nach Abs. 1 Rechenzentren in Anspruch 


nehmen. Die Rechenzentren dürfen die Daten für im Sozial- 
gesetzbuch bestimmte Zwecke verarbeiten und nutzen, so- 
weit sie dazu von einer berechtgten Stelle beauftragt worden 
sind; anonymisierte Daten dürfen auch für andere Zwecke 
verarbeitet und genutzt werden.“ Im Rahmen des Gesetzes 
zur Begrenzung von Arzneimittelausgaben der gesetzlichen 
Krankenversicherung vom 15. Februar 2002 (BGBl. 1 
S. 684) wurde die Vorschrift wie folgt ergänzt: .... „Die Re- 
chenzentren dürfen die Daten für im Sozialgesetzbuch be- 
stimmte Zwecke und ab dem 1 . Januar 2003 nur in einer auf 
diese Zwecke ausgerichteten Weise verarbeiten und nutzen, 
soweit ....“. Anlässlich von Prüfungen von Datenschutzauf- 
sichtsbehörden aus dem nicht öf fentlichen Bereich wurde 
festgestellt, dass verschiedentlich Apotheken personenbezo- 
gene Rezeptdaten über Abrechnungszwecke hinaus für an- 
dere Zwecke durch Apotheken-Rechenzentren aufbereiten 
ließen und in Form einer CD mit verschiedenen Auswerte- 
möglichkeiten verwandten, ohne dass es hierfür eine Rechts- 
grundlage aufgrund Gesetzes oder Einwilligung gab. Dies 
wurde von den jeweils zuständigen Aufsichtsbehörden bean- 
standet. ln der Folge wurde im Düsseldorfer Kreis die Frage 
kontrovers diskutiert, inwieweit solche Verfahren über Ein- 
willigungserklärungen der Patienten legitimiert werden 
könnten. Ich habe hier ebenso wie die Landesbeauftragte für 
den Datenschutz Nordrhein- Westfalen die Rechtsauffassung 
vertreten, dass es sich bei de r Vorschrift des § 300 Abs. 2 
SGB V, dessen Ausrichtung auf Zwecke des Sozialgesetz- 
buches durch die erwähnte Gesetzesänderung noch verstärkt 
wurde, um eine vorrangige Rechtsvorschrift handelt, die aus 
einem allgemeinen Interesse heraus die personenbezogene 
kommerzielle Verwertung der sensiblen Gesundheitsdaten in 
Rezepten nicht zulässt. Die hier vorhandene spezialrechtli- 
che Regelung kann daher nicht durch eine Einwilligung au- 
ßer Kraft gesetzt werden. Das Bundesministerium für Ge- 
sundheit, das mit der Rechtsfrage wiederholt befasst wurde, 
hat sich letztlich meiner Auslegung angeschlossen und die 
Ausrichtung der V erarbeitung der personenbezogenen Re- 
zeptdaten auf Zwecke des Sozialgesetzbuches bekräftigt. 

29 Verkehr 

29.1 LKW-Maut - droht eine generelle 

Verkehrsüberwachung? 

Das „Gesetz zur Einführung von streckenbezogenen Gebüh- 
ren für die Benutzung von Bundesautobahnen mit schweren 
Nutzfahrzeugen“ (Autobahnmautgesetz), an dessen Gestal- 
tung ich in den letzten Jahren intensiv beteiligt war (vgl. 
18. TB Nr. 28.4), ist am 12. April 2002 in Kraft getreten 
(BGBl. I S. 1234). Am 20. September 2002 wurde ein Fir- 
menkonsortium mit dem Aufbau und Betrieb eines Satelli- 
ten- und mobilfünkgestützten Mauterfassungssystems be- 
auftragt. Ab August 2003 sollen Schwerlaster ab zwölf 
Tonnen elektronisch erfasst und die Maut berechnet werden. 
Je nach Achsenzahl und Schadstof fklasse müssen sie zwi- 
schen 10 und 17 Cent pro Kilo meter zahlen. Betroffen sind 
schätzungsweise 1,2 bis 1,5 Mi llionen Fahrzeuge, davon 
500 000 ausländische. Die Mautschuldner sind verpflichtet, 
bei der Mauterhebung mitzuwirken, z. B. durch Mitführen 
eines Gerätes in der Größe eines Autoradios (so genanntes 
On Board Unit - OBU), das über GPS den Standort erfasst 
und über Mobilfunk mit der Abrechnungsstelle kommuni- 
ziert. Auf den Autobahnen werden rund 300 Messbrücken 
als Kontrolleinrichtungen errichtet. Neben der automati- 
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sehen Abrechnung kann die Maut auch mit herkömmlichen 
Zahlungsmitteln an ca. 3 500 Zahlstellen entrichtet werden 
(vgl. Abbildung 5). 

Im Autobahnmautgesetz sind die mautpflichtigen Fahr- 
zeuge, die Autobahnstrecken, die Mautschuldner sowie die 
Berechnungsgrundlagen der Maut sätze festgelegt. Für die 
Mautentrichtung dürfen zweckgebunden neben dem Kenn- 
zeichen des Fahrzeugs nur technische Angaben wie Strecke, 
Ort, Zeit, Kfz-Merkmale und Mauthöhe verarbeitet werden. 
Der Betreiber des Mauterhebungssystems hat die gespei- 
cherten Daten unverzüglich nach Abschluss des V erfahrens 
zu löschen. Die Einhaltung der gesetzlichen Vorschriften ob- 
liegt in erster Linie dem Bundesamt für Güterverkehr, dane- 
ben auch den Zollbehörden. Zu diesem Zweck dürfen der 
Name des Mautschuldners, Bi ld, Kennzeichen und techni- 
sche Merkmale des LKW sowie Ort und Zeit der Bundesau- 
tobahnbenutzung gespeichert werden. Für die meisten Daten 
gilt, dass sie nach der Mautentrichtung zu löschen bzw . für 
statistische Zwecke zu anonymisieren sind. Bilder und Daten 
von Fahrzeugen, die nicht der Mautpflicht unterliegen, sind 
unmittelbar nach dem Kontrollvorgang zu löschen. 

Mit diesem Maßnahmenbündel zum Datenschutz sind gene- 
relle Verkehrsüberwachungen oder gar die Erstellung von 


Bewegungsprofilen von Fahrzeugen ausgeschlossen. Die 
Regelungen zur Datenverarbeitung werden dem daten- 
schutzrechtlichen Grundsatz der Datensparsamkeit (§ 3a 
BDSG) gerecht. Jedwede Erweiterung der Mautpflicht oder 
der Kontrollmaßnahmen unterliegt dem Gesetzesvorbehalt 
und damit auch der Einflussna hme des Datenschutzes. Ich 
werde Änderungen auf diesem Gebiet kritisch begleiten und 
Befürchtungen in Richtung auf einen „big brother“ im Stra- 
ßenverkehr weiter entgegentreten. 

29.2 Ärztliche Schweigepflicht kontra 

Qualitätssicherung bei medizinisch- 
psychologischen Gutachten 

Bei Zweifeln an der Fahreignung kann die Fahrerlaubnisbe- 
hörde vom Betroffenen die Vorlage eines medizinisch-psy- 
chologischen Gutachtens verlangen. Die Begutachtungsstel- 
len müssen sich bei der Bundesanstalt für Straßenwesen 
(BASt) akkreditieren lassen und für die bei ihnen tätigen 
Ärzte und Psychologen einen besonderen Qualifikations- 
nachweis erbringen. Für die Erstellung der Gutachten gelten 
die in Anlage 15 zu § 1 1 Abs. 5 Fahrerlaubnisverordnung 
(FeV) genannten Grundsätze. Die BASt überprüft aus Grün- 
den der Qualitätssicherung die Stellen vor Ort und fordert 


Abbildung 5 (zu Nr. 29.1) 
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stichprobenartig Gutachten an (etwa 500 pro Jahr , das sind 
0,5 %), die nach Auswertung zurückgegeben werden. 

Mir wurde mit einer Eingabe die Frage gestellt, wie die Ein- 
sichtnahme der BASt in die Gutachten mit der ärztlichen 
Schweigepflicht zu vereinbaren sei. Ich habe mich darauf- 
hin an Ort und Stelle kundig gemacht und festgestellt, dass 
nahezu alle Gutachten im Original und mit vollen Namens- 
angaben vorliegen. Diese V erfahrensweise habe ich mo- 
niert. Zwar steht der BASt das Recht zu Kontrollmaßnah- 
men nach § 72 Abs. 2 FeV z u, um die bundeseinheitliche 
Anwendung der o. g. Grundsätze durch die Gutachter zu ge- 
währleisten; dies rechtfertigt jedoch keinen Eingrif f in das 
gesetzlich geschützte Arzt-Patienten- Verhältnis. 

Die BASt bestätigte mir, dass der Personenbezug zum Auf- 
traggeber des Gutachtens für ihre Arbeit ohne Bedeutung 
ist, da sich die Qualitätssicherungsmaßnahmen ausschließ- 
lich auf die Begutachtungsstellen und die bei ihnen tätigen 
Gutachter bezögen. Die Begutachtungsstellen seien auch 
schon daraufhingewiesen worden, die Gutachten anonymi- 
siert bzw. pseudonymisiert (d . h. ohne direkt identifizie- 
rende Angaben) zuzusenden, allerdings ohne nachhaltigen 
Erfolg. Die BASt fühle sich durch den Hinweis exkulpiert, 
weil die Wahrung der Verschwiegenheitspflicht Aufgabe der 
begutachtenden Arzte und Psychologen sei. 

Ich habe dieser Auf fassung widersprochen und dem Amt 
eine Mitverantwortung zugewiesen. Es erhält durch den 
Personenbezug Infonnationen, die für die Aufgabenerfül- 
lung des Amtes nicht erforderlich sind. Nicht erforderliche 
Daten dürfen nach den Bestimmungen des BDSG nicht ver- 
arbeitet oder sonst genutzt werden (§§ 13 f f. BDSG) und 
zwar unabhängig von den eingesetzten V erfahren. Auch 
sind die Vorgaben zur Datenvermeidung zu beachten und 
von den Möglichkeiten der Anonymisierung und Pseudony- 
misierung Gebrauch zu machen (§ 3a BDSG). Um nicht 
selbst mit Schutz- und Sicherungsmaßnahmen in die Pflicht 
genommen zu werden, muss di e BASt darauf dringen, dass 
ihr die Gutachten nur in anonymisierter bzw . pseudonymi- 
sierter Form zugesandt werden. Dies ist m. E. gegenüber 
den Begutachtungsstellen auch durchsetzbar . Der Fortbe- 
stand ihrer Akkreditierung kann vom Amt mit der Auflage 
verknüpft werden, bestehende gesetzliche Schutzauflagen 
einzuhalten, denn die Wahmng des Arzt-Patienten- Vertrau- 
ensverhältnisses obliegt den Gutachtern. Andernfalls könnte 
das Amt den Begutachtungsstellen die Kosten für die nach- 
trägliche Anonymisierung in Rechnung stellen. 

Zur organisatorischen Erleichterung habe ich den Vorschlag 
gemacht, die den Auftraggeber identifizierenden Angaben 
nur auf dem Deckblatt des Gutachtens festzuhalten und im 
Gutachten selbst nur vom Auftraggeber oder einem anderen 
Synonym zu sprechen. Deckblatt, Gutachten und die übri- 
gen anonymisierten Unterlagen erhalten eine vorgangsbezo- 
gene einheitliche Referenz-Nummer. Der BASt wird nur das 
Gutachten ohne Deckblatt übermittelt. Das Amt hat zuge- 
sagt, die Begutachtungsstellen auf ihre datenschutzrecht- 
lichen Verpflichtungen hinzuweisen und bei Nichtbeach- 
tung Konsequenzen zu ziehen. Ich werde mich über die 
weitere Entwicklung auf dem Laufenden halten. 

29.3 Ahndung von Verkehrsverstößen im 
Ausland - Dürfen Daten übermittelt 
werden? 

Manche Bürger werden nach einer Fahrt ins Ausland mit ei- 
nem besonderen Souvenir an ihre Reise erinnert, das aller- 


dings wenig Freude macht: Sie bekommen Post von der in 
London ansässigen Finna Euro Parking Collection (EPC), 
die sie unmissverständlich auf nicht bezahlte Park-„Knöll- 
chen“, Mautgebühren oder andere V erkehrsverstöße hin- 
weist und eine Zahlungsauf Forderung gleich beifügt. Das 
Anschreiben enthielt bis vor kurzem sogar eine Drohung, 
dass bei Nichtzahlung innerhalb einer Frist die Kreditwür- 
digkeit des Halters beeinträchtigt werden könne. Da fragt 
sich natürlich der Betrof fene, woher eine private englische 
Firma seine Anschrift hat und dazu kommt, Bußgeld z. B. 
für einen Parkverstoß in Am sterdam, Oslo oder Kopenha- 
gen zu „verhängen“ und Beträge einzutreiben, die teilweise 
dem Vielfachen deutscher Verhältnisse entsprechen? Woher 
nimmt die Firma das Recht, ihn bei Kredituntemehmen an- 
zuschwärzen? 

Hinter dem „unfreundlichen Ak t“ verbirgt sich folgender 
Sachverhalt: Die Finna EPC wird von zahlreichen ausländi- 
schen Behörden beauftragt, Buß- und V erwarnungsgelder 
für nicht bezahlte V erkehrsverstöße einzuziehen. Die örtli- 
che Behörde weist in jedem Einzelfall durch V orlage von 
Strafzetteln oder Fotos die Rechtmäßigkeit der Bußgeldfor- 
derung nach, deren Höhe sich nach den gültigen ausländi- 
schen Gebührensätzen richtet, die häufig wesentlich höher 
als in Deutschland sind. EPC wendet sich als eine Art V er- 
waltungsgehilfe mit dem Beleihungsnachweis an das Kraft- 
fahrt-Bundesamt (KBA) in Flensburg, das nach § 37 Stra- 
ßenverkehrsgesetz (StVG) Auskunft über die gespeicherten 
Fahrzeug- und Halterdaten über mittein darf. Die englische 
Firma wird nach § 37 Abs. 2 StVG daraufhingewiesen, dass 
die Daten ausschließlich zur V erfolgung von Verkehrsver- 
stößen genutzt werden dürfen. An diese Auflage hat sich 
EPC bisher auch strikt gehalten, auch wenn in dem An- 
schreiben an den Halter der Hinweis auf die Beeinträchti- 
gung seiner Kreditwürdigkeit anderes vermuten lässt. W e- 
der das KBA noch ich haben Anhaltspunkte, dass von EPC 
gegen die Zweckbindung verstoßen wurde. 

Auf meine Intervention hin hat EPC unverzüglich auf die 
beanstandete „Drohgebärde“ in seinen Anschreiben ver- 
zichtet. Darüber hinaus best ehen keine datenschutzrechtli- 
chen Bedenken gegen die Vörgehensweise. 

29.4 Einrichtung einer Fliegerdatenbank beim 
Luftfahrt-Bundesamt 

ln meinem letzten Tätigkeitsbericht (vgl. 18. TB Nr. 28.5.2) 
habe ich über die geplante Ei nrichtung einer Fliegerdaten- 
bank beim Luftfahrt-Bundesamt (LBA) berichtet. Es war 
vorgesehen, sämtliche bei den fliegerärztlichen Untersu- 
chungen festgestellten Einzelbe fünde zentral zu speichern. 
Dagegen habe ich erhebliche datenschutzrechtliche Beden- 
ken vorgebracht und darauf gedrungen, nur solche medizini- 
schen Befunddaten dem LBA zu melden, die für die \örwal- 
tungsaufgaben des Amtes, Erlaubnisse und Berechtigungen 
zu erteilen und zu registrieren, erforderlich sind. 

Im Entwurf des § 24b der „Änderung der Luftverkehr -Zu- 
lassungs-Ordnung“ wird meinen Bedenken Rechnung getra- 
gen: Danach speichert das LBA im Falle festgestellter 

- „uneingeschränkter Tauglichkeit“ nur Angaben zur Iden- 
tifizierung des Betroffenen, die ausgestellte Fluglizenz- 
Klasse sowie die Referenznummer zum ärztlichen Gut- 
achten, das jedoch beim untersuchenden Fliegerarzt ver- 
bleibt; 
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- „eingeschränkter Tauglichkeit“ zusätzlich zu den vorge- 
nannten Angaben die erteilten Auflagen und Beschrän- 
kungen sowie die damit zusammenhängenden Einzelbe- 
funde, die jedoch nicht in die Datenbank gelangen, 
sondern aktenmäßig getrennt und sicher aufbewahrt wer- 
den; 

— „Untauglichkeit“ lediglich di e identifizierenden Perso- 
nenangaben sowie die den me dizinischen Befund erhe- 
bende Stelle mit dem Erhebungsdatum. 

Sofern der Betroffene auf eigenen Wunsch den Fliegerärzt- 
lichen Untersuchungsausschuss beim LBA als Revisionsin- 
stanz anruft und um Überprüfung der Erstuntersuchung bit- 
tet, werden die Befunder gebnisse der Erstuntersuchung 
angefordert und von einem unabhängigen Ärztegremium 
ggf. unter Heranziehung weiterer Befunde bewertet. Dieser 
Vorgang führt zu keiner Datenspeicherung beim LBA. So- 
bald der Fliegerärztliche Untersuchungsausschuss seine 
Entscheidung getroffen hat, wird das Er gebnis in die Flie- 
gerdatenbank übernommen - analog den Er gebnissen von 
Erstuntersuchungen. Die ärztlichen Unterlagen der Erstun- 
tersuchung werden zurückgesa ndt. Die im Rahmen der 
Überprüfung angefallenen medizinischen Unterlagen wer- 
den getrennt beim Fliegerärztlichen Untersuchungsaus- 
schuss als Medizinalakte gemäß den ärztlichen Bestimmun- 
gen aufbewahrt. 

Mit diesen gestaffelten Regelungen werden die datenschutz- 
rechtlichen Grundsätze der Datensparsamkeit, Erforderlich- 
keit und Zweckbindung umgesetzt. 

30 Verteidigung 

30.1 Der behördliche Datenschutzbeauftragte 

ln meinen letzten Tätigkeitsberichten (17. TB Nr . 26.1 und 
18. TB Nr. 26.3) habe ich mich ausführlich der Organisation 
des Datenschutzes in der Bundeswehr und insbesondere der 
Rolle gewidmet, die dem behördlichen Datenschutzbeauf- 
tragten innerhalb der Bundeswehr zukommen soll. Erfreuli- 
cherweise ist dieses Thema na ch dem In-Kraft-T reten der 
BDSG-Novelle sehr konstruktiv zwischen dem BMVg und 
mir diskutiert worden. 

Die Bundeswehr soll danach einen eigenen behördlichen 
Datenschutzbeauftragten (BfDBw) erhalten, dessen Aufga- 
benschwerpunkte in der V orabkontrolle nach § 4d Abs. 5 
und 6 BDSG, der datenschutzrechtlichen Schulung (§ 4g 
Abs. 1 Nr. 2 BDSG) und der nachträglichen Kontrolle (§ 4g 
Abs. 1 Nr. 1 BDSG) hegen werden. Ihm werden nach § 4f 
Abs. 5 Satz 1 BDSG Hilfskräfte zur Seite gestellt, die 
ebenso wie er selbst „V ollzeitdatenschützer“ sein werden. 
Daneben bleibt die bisherige Datenschutzorganisation der 
Bundeswehr - bei der der Be reich Datenschutz dem Füh- 
rungsgrundgebiet 1 (Personalwesen, Innere Führung, 
Presse- und Öf fentlichkeitsarbeit) zugeordnet war — unter 
der Bezeichnung „administrative Datenschutzkomponente“ 
erhalten. Dem hier eingesetzten Personal (i. d. R. der so ge- 
nannte S1 -Offizier) obliegt eine beratende und in der jewei- 
ligen Dienststelle bzw. in dem jeweiligen V erantwortungs- 
bereich eine schulende Aufgabe. Der dem Datenschutz 
zuzuordnende Anteil bei den Dienstposten ist von der Größe 
der Dienststelle und des Verantwortungsbereichs abhängig. 

Einerseits wird durch die gefundene Lösung meine Kritik an 
der Anbindung des Bereichs Datenschutz an das Führungs- 


grundgebiet 1 wegen möglicher Interessenkonflikte aufge- 
griffen: Mit der Schaf füng des BfDBw wird eine andere, 
neutralere Stelle mit den da tenschutzrechtlichen Kontroll- 
aufgaben beauftragt. Andererseits wird dadurch, dass die 
bisherige Datenschutzorganisation als Ansprechpartner für 
den Datenschutz erhalten bleibt, sichergestellt, dass der Weg 
für den Soldaten bzw. zivilen Mitarbeiter zum förmlich be- 
stellten Datenschutzbeauftragten nicht zu weit ist. Für das 
BMVg und seinen Geschäftsbereich wurde damit eine gute 
Lösung gefunden. 

30.2 PERFIS - Das Personalinformations- 
system der Bundeswehr auf 
neuen Wegen 

ln meinem letzten Tätigkeitsbericht habe ich über die daten- 
schutzrechtliche Kontrolle des Personalamts der Bundes- 
wehr und darüber berichtet, dass das dort federführend be- 
treute Personalführungs- und Infonnationssystem der 
Bundeswehr (PERFIS) durch ein neues System ersetzt wer- 
den soll (18. TB Nr . 26.2). Im Berichtszeitraum hat das 
BMVg zum einen den dort kritisierten, veralteten Erlass 
über die Führung der Personalunterlagen der Soldaten aus 
dem Jahr 1965 durch die „Bestimmungen über die Führung 
der Personalakten der Soldaten und der Personalunterlagen 
mit Personalaktenqualität“ vom 6. August 2001 ersetzt, die 
auch einen Abschnitt über die Führung von automatisierten 
Personalunterlagen enthalten. Zum anderen hat es damit be- 
gonnen, unter dem Stichwort PERFIS II das Datenbanksys- 
tem SAP R/3 HR für die Verwaltung der Personaldaten von 
Soldaten und zivilen Angehörigen der Bundeswehr und des 
übrigen Geschäftsbereichs des BMVg einzuführen. Zu die- 
sem Datenbanksystem habe ich in meinem 18. TB 
(Nr. 8.6.4) ausführlich Stellung genommen. 

Bei einer Wehrbereichsverwaltung habe ich mir die Imple- 
mentierung der Software ange sehen. Dabei habe ich auf 
zahlreiche Mängel hinweisen müssen, da die für die auto- 
matisierte Personaldatenverarbeitung geltenden gesetzli- 
chen Regelungen (§ 29 Soldatengesetz für die Personalda- 
ten der Soldaten und die §§90 ff. Bundesbeamtengesetz für 
die Personaldaten der Beamten und Angestellten) nicht voll- 
ständig eingehalten worden sind. 

Insbesondere habe ich bemängelt, dass 

- eine Vielzahl von Daten erhoben und in das System ein- 
gestellt werden, deren Erfo rderlichkeit für Zwecke der 
Personalplanung und -Verwaltung nicht hinreichend dar- 
getan werden konnte; 

- die bestehende Zugriffsregelung so ausgestaltet ist, dass 
alle Berechtigten, die Zugang zu PERFIS 11 haben, auch 
auf alle dort abgelegten Daten zugreifen können, gleich- 
gültig, ob dies für die Erfüllung ihrer Aufgaben erforder- 
lich ist oder nicht; 

- eine Schnittstelle zum Programm MS -Excel besteht, so- 
dass selbst dann, wenn für das System SAP R/3 HR eine 
datenschutzgerechte Zugriffsregelung bestehen sollte, 
diese durch die Excel-Schnittstelle wieder ausgehebelt 
wird; 

- die Möglichkeit besteht, ungeprüft und unkontrolliert 
Abfragen über Soldaten und Mitarbeiter im System an- 
zustoßen (freie Abfragen); 
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- die Übermittlung der Personaldaten unverschlüsselt zwi- 
schen der personaldatenbear beitenden Stelle und dem 
Rechenzentrum erfolgt; 

- keine Regelung für die Protokollierung der Daten exis- 
tiert, die im Rechenzentrum die Firewall passieren, und 
damit auch nicht protokolliert wird, wer auf welche Da- 
ten im System SAP R/3 HR zugreift. 

Von einer förmlichen datenschutzrechtlichen Beanstandung 
habe ich bislang nur deshalb abgesehen, weil es sich bei der 
Implementierung des Datenbanksystems SAP R/3 HR um 
ein Pilotprojekt handelt und mir anlässlich des Beratungs- 
und Kontrollbesuchs mündlich zugesichert wurde, die fest- 
gestellten Mängel abzustehen. Die weitere Entwicklung bei 
der Einführung von PERFIS II werde ich im Auge behalten. 

30.3 Datenschutz im Kreiswehrersatzamt 

30.3.1 Die Einführung der elektronischen Akte 

im Kreiswehrersatzamt - WEWIS 

Die Unterstützung von V erwaltungsverfahren durch mo- 
derne Technik macht auch vor den Kreiswehrersatzämtern 
nicht halt. So habe ich mir bei einem Besuch eines Kreis- 
wehrersatzamtes die neueste Entwicklung beim Wehrersatz- 
wesen-Informationssystem (WEWIS) angesehen. 

Das System WEWIS unterstützt die Wehrersatzbehörden bei 
der Erledigung ihrer Aufgaben - angefangen von der Erfas- 
sung über die Musterung bis hin zum Ausscheiden der Wehr- 
pflichtigen aus der W ehrüberwachung. Das ursprüng liehe 
WEWIS (alt) wurde durch die Neuentwicklung von 
WEWIS II ergänzt. Wesentlicher Bestandteil von WEWIS 11 
ist ein Dokumentenmanagementsystem, das eine weitge- 
hend papierlose Bearbeitu ng des Musterungsverfahrens 
zum Ziel hat. Es setzt insofern auf WEWIS (alt) auf, als des- 
sen Datenbanksysteme weiterhin genutzt werden. Eine zu- 
nächst beabsichtigte W eiterentwicklung von WEWIS 11 
wurde allerdings aufgegeben. Stattdessen ist vor gesehen, 
das System WEWIS II im Rahmen der Einführung des Da- 
tenbanksystems SAP R/3 HR in das System PERFIS II (s. o. 
Nr. 30.2) einzubinden. 

Im System WEWIS II, das in das lokale Netzwerk des Kreis- 
wehrersatzamtes integriert ist, werden alle eingehenden Do- 
kumente per Scanner digitalisiert und indiziert, d. h. der ent- 
sprechenden Personalakte (PA) zugeordnet. Darüber hinaus 
werden die Schreiben ihrer Art nach verschiedenen Index- 
klassen (z. B. PA Allgemein, PA Ärztlicher Dienst) zugeord- 
net und entsprechend archiviert. Die Post wird in digitaler 
Form an die zuständigen Mitarbeiter zur Bearbeitung weiter- 
geleitet. Diese haben nur Zugriff auf die Daten der Akten, die 
sie zu ihrer Aufgabenerfüllung jeweils benötigen. Darüber 
hinaus werden durch das in WEWIS II vorhandene T eilpro- 
gramm „Ablaufsteuerung ABZ“ die Wehrpflichtigen zeitlich 
optimal und ohne zusätzlichen Austausch von Papierdoku- 
menten zu den einzelnen Stationen der Musterung geleitet. 
Bereits die Einladung zur Musterung wie auch die Vorberei- 
tungen für den jeweiligen Musterungstag erfolgen mit Unter- 
stützung von WEWIS II. Anhand seiner Auftragsübersicht 
kann jeder Mitarbeiter erkennen, welcher Wehrpflichtige im 
Tagesablauf als nächstes von ihm zu betreuen ist. Anlässlich 
der Musterung werden zunächst die bereits gespeicherten 
Personaldaten überprüft. Dokumente, die der Wfehrpflichtige 
zur Musterung mitbringt (z. B. Schulbescheinigungen, ärzt- 


liche Gutachten), werden ebenfalls gescannt und seiner digi- 
talen Akte beigefügt. Auch der Ärztliche Dienst des Kreis- 
wehrersatzamtes und der Psychologische Dienst sind in den 
von WEWIS II geführten Tagesablauf integriert. 

Grundlegende datenschutzrechtliche Bedenken habe ich ge- 
gen den Einsatz des Systems WEWIS II nicht. Ich habe al- 
lerdings auf einige Aspekte hingewiesen, die mir bei mei- 
nem Besuch aufgefallen waren und die Benutzung des 
Systems aus datenschutzrechtlicher Sicht noch verbessern 
können. Das BMVg hat mir mittle rweile mitgeteilt, dass es 
diesen Anregungen folgen wird. 

Datenschutzrechtlich beanstanden musste ich in diesem Zu- 
sammenhang jedoch, dass der Psychologische Dienst des 
Kreiswehrersatzamtes die Eignungsuntersuchung und -fest- 
stellung durchführt, bevor die W ehrdienstfähigkeit des 
Wehrpflichtigen feststeht. Dies hatte mich auch deshalb 
überrascht, weil ich diesen Sachverhalt bereits einmal bean- 
standet hatte (s. 11. TB S. 72). Der Hinweis des Kreiswehr- 
ersatzamtes, nach den Änderungen des Wehlpflichtgesetzes 
durch das Wehrrechtsänderungsgesetz vom 15. Dezember 
1995 (BGBl. I S. 1726) sei es zulässig, die W ehrpflichtigen 
vor der Feststellung ihrer Wehrdienstfähigkeit auf ihre Eig- 
nung zu untersuchen, hat mich nicht überzeugt. Nach § 17 
Abs. 8 Wehrpflichtgesetz ist es weiterhin nur zulässig, Whr- 
pflichtige auf ihre Eignung für Verwendungen in den Streit- 
kräften zu untersuchen, soweit dies „erforderlich und not- 
wendig“ ist. Erforderlich und für eine sinnvolle Einplanung 
der Einberufung notwendig ist die Eignungsuntersuchung 
und -feststellung jedoch nach wie vor ausschließlich bei 
wehrdienstfähigen Wehrpflichtigen. Nur in diesem Fall ist 
auch die Erhebung von psychologischen Daten im Rahmen 
der Eignungsuntersuchung und -feststellung zulässig. Das 
BMVg hat mir aufgrund der datenschutzrechtlichen Bean- 
standung mitgeteilt, dass es anstrebe, die rechtlichen Rege- 
lungen so zu ändern, dass eine Eignungsuntersuchung und 
-feststellung bereits vor der Feststellung der W ehrdienstfä- 
higkeit durchgeführt werden könne. Es begründet dies im 
Wesentlichen mit verfahrensökonomischen Gesichtspunk- 
ten. Dem Wehrpflichtigen solle es erspart werden, für die 
Eignungsuntersuchung und -feststellung zu einem zweiten 
Vörstellungstermin beim Kreiswehrersatzamt erscheinen zu 
müssen. Aus ablaufor ganisatorischen Gründen könnten 
Wehrpflichtige nicht in jedem Fall an einem T ag zunächst 
ärztlich und dann psychologisch untersucht werden. Aus 
diesem Grund solle bei einigen Wehrpflichtigen die psycho- 
logische Untersuchung vorgezogen werden. Sollte sich dann 
bei der anschließenden ärztlichen Untersuchung herausstel- 
len, dass der W ehrpfhehtige wehrdienstunfähig ist, würden 
die bereits erhobenen psychologischen Daten unverzüglich 
gelöscht. Bis zum Erlass der hierfür notwendigen gesetz- 
lichen Regelung soll aufgrund einer Einwilligung der betrof- 
fenen Wehrpflichtigen bereits so verfahren werden. 

Der Argumentation des BMVg kann ich mich nicht ver- 
schließen. Insbesondere ist zu berücksichtigen, dass die 
Wehrpflichtigen zum Teil erhebliche Wege - insbesondere 
in ländlichen Gebieten - zum zuständigen Kreiswehrersatz- 
amt zurücklegen müssen. Es liegt daher auch im Interesse 
der Betroffenen - aber auch von deren Arbeitgeber — , die für 
die Musterung notwendigen Untersuchungen möglichst an 
einem Tag hinter sich zu bringen. Die notwendige Änderung 
des Wehipflichtgesetzes sollte daher so schnell wie möglich 
angegangen werden. 
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30.3.2 Erhebung von Daten hinter dem Rücken 
Wehrpflichtiger 

Verschiedene Wehrersatzbehörden (Kreiswehrersatzämter, 
Wehrbereichsverwaltungen) haben im Rahmen der Bearbei- 
tung von Anträgen auf Zurückstellung oder Befreiung vom 
Wehrdienst versucht, personenbezogene Daten der Antrag- 
steller ohne deren Beteiligung bei anderen Stellen, wie 
Hochschulen und Universitäten, zu erheben. Erbeten wur- 
den u. a. Auskünfte zum Ausbildungsstand, zu Prüfüngster- 
minen und zum voraussichtlichen Ende der Studiengänge. 
Die betroffenen Wehrpflichtigen wurden über diese Daten- 
erhebungen weder informiert noch wurde ihre Einwilligung 
hierzu eingeholt. Diejenigen, die sich mit dieser Angelegen- 
heit an mich gewandt haben, ha tten lediglich durch Zufall 
von dieser Verfahrensweise erfahren. 

Entgegen meiner Auffassung, dass die zur Entscheidungs- 
findung der W ehrersatzbehörden im Antragsverfahren er- 
forderlichen Daten in Ermangelung einer weitreichenderen 
Erlaubnisnorm - etwa im Wehrpflichtgesetz - beim Betrof- 
fenen selbst zu erheben sind (§13 Abs. 2 Satz 1 BDSG in 
der bis zum 22. Mai 2001 gültigen Fassung, § 4 Abs. 2 
Satz 1 BDSG-neu), vertrat das BMVg zunächst die Ansicht, 
dass die Auskunftserteilung durch die ausbildende Einrich- 
tung in vielen Fällen unverzichtbar sei, da sachgerechte Ent- 
scheidungsgrundlagen nur durch umfassende Ermittlungen 
direkt bei diesen zu erlangen seien. Das BMVg berief sich 
darauf, dass es zulässig sei, personenbezogene Daten ohne 
Mitwirkung des Betroffenen zu erheben, wenn die zu erfül- 
lende Verwaltungsaufgabe ihrer Art nach eine Erhebung bei 
anderen Stellen erforderlich macht und keine Anhaltspunkte 
dafür bestehen, dass überwie gende schutzwürdige Interes- 
sen des Betrof fenen beeinträchtigt werden (§ 13 Abs. 2 

Satz 2 Nr. 2 Buchstabe a) BDSG in der bis zum 22. Mai 
2001 gültigen Fassung, § 4 Abs. 2 Satz 2 Nr. 2 Buchstabe a) 
BDSG-neu). An die Erforderlichkeit sind insoweit jedoch 
strenge Anforderungen zu stellen. Welche Gründe die Date- 
nerhebung direkt bei den Bildungseinrichtungen in den vor- 
liegenden Fähen tatsächlich im Sinne der genannten V or- 
schrift erforderlich gemacht haben sollen, konnte das 
BMVg mir nicht überzeugend darlegen. Ich hatte insbeson- 
dere auch deshalb Zweifel an der Erforderlichkeit der Date- 
nerhebung ohne Beteiligung der betroffenen Wehrpflichti- 
gen, weil es in den mir bekannt gewordenen Fällen durchaus 
möglich gewesen wäre, diese aufzufordern, die zur Ent- 
scheidung der Wehrersatzbehörde benötigten Infonnationen 
selbst beizubringen und ggf. durch eine von der Hochschule 
einzuholende Stellungnahme zu belegen. 

Letztendlich habe ich mich mit dem BMVg darauf verstän- 
digen können, dass die zur Bearbeitung von Zurückstel- 
lungs- und ähnlichen Anträgen erforderlichen Daten grund- 
sätzlich beim Antragsteller erhoben werden. Dieser legt 
auch selbst die notwendigen Nachweise vor . Sollten diese 
im Einzelfall nicht zur Entscheidungsfindung ausreichen, 
wird beim Antragsteller eine schriftliche Einwilligung zur 
Datenerhebung bei der in Frage kommenden anderen Stelle 
eingeholt. Für den Fall, dass der Betroffene die Einwilli- 
gung nicht erteilt, entscheidet die Behörde nach Aktenlage. 
Das BMVg hat die betrof fenen Dienststellen angewiesen, 
entsprechend zu verfahren und auch in den Fähen, in denen 
bereits Auskunftsersuchen ohne Einwilligung der Betrof fe- 
nen gestellt worden waren, von diesen abzusehen. Die V er- 


fahrensanweisung für das Wehrersatzwesen wurde ebenfalls 
der beschriebenen Regelung angepasst. 

Mit diesem datenschutzgerechten Verfahren ist es gelungen, 
einen angemessenen Interessenausgleich zwischen dem 
Recht der W ehrpflichtigen auf W ahmng ihres informatio- 
neilen Selbstbestimmungsrechts und dem Bestreben der zu- 
ständigen Behörden nach sachgerechten Entscheidungen im 
Wehrersatzwesen zu finden. 

31 Zivildienst 

31.1 Unzulässige Aufbewahrung von 

Unterlagen über ein Strafverfahren 

Eine Eingabe machte mich darauf aufmerksam, dass das 
Bundesamt für den Zivildienst (BAZ) durch ein strafge- 
richtliches Verfahren entstandene Verwaltungsvorgänge un- 
ter Hinweis auf die Anwendung einschlägiger V orschriften 
des Bundeszentralregistergesetzes (BZRG) erst nach Ablauf 
von drei Jahren aus den Personalakten betrof fener Zivil- 
dienstleistender entfernt. Unterlagen aus Disziplinarverfah- 
ren (im mir vor getragenen Fall aus gleichem Anlass einge- 
leitet) werden gern. § 69a Zivildienstgesetz (ZDG) mit 
Zustimmung des Betroffenen hingegen bereits ein Jahr nach 
Abschluss des V erfahrens aus den Personalakten entfernt 
und vernichtet. Für den betroffenen ehemaligen Zivildienst- 
leistenden war nicht nachvollziehbar , warum der im Rah- 
men des Strafverfahrens angefallene V erwaltungsvorgang 
länger in seiner Personalakte aufbewahrt werden sollte als 
der aus gleichem Anlass angelegte V organg über ein Diszi- 
plinarverfahren. 

Das BAZ begründete die dreijährige Aufbewahrung der 
strafgerichtlichen Vorgänge damit, dass sich diese Frist in 
Ermangelung einer einschlägigen gesetzlichen Regelung 
aus der analogen Anwendung von § 34 Abs. 1 Nr . 1 BZRG 
ergäbe, wonach eine Verurteilung nach Ablauf von drei Jah- 
ren nicht mehr in ein Führungszeugnis aufgenommen wird. 

Eine solche analoge Anwendung von Fristen des BZRG auf 
die Personalakten von Zivildienstleistenden halte ich nicht 
für zulässig. So dient die Führung einer Personalakte voll- 
kommen anderen Zwecken als die Führung des Bundeszen- 
tralregisters. Unter Berücksichtigung der Tatsache, dass die 
Dienstzeit der Zivildienstleistenden selbst nur elf Monate 
beträgt und auch aus Gründen der Resozialisierung sollten 
im Rahmen eines Strafverfa hrens angefallene Unterlagen 
nicht länger in der Personalakte aufbewahrt werden als dies 
zur Aufgabenerfüllung der Personalverwaltung erforderlich 
ist. Gründe, die es tatsächlich nötig machen, die im strafge- 
richtlichen Verfahren entstandenen V erwaltungsvorgänge 
zwei Jahre länger in der Personalakte aufzubewahren als die 
aus gleichem Anlass im Disziplinarverfahren entstandenen 
Vorgänge, sind für mich nicht ersichtlich und konnten auch 
vom BAZ nicht vor gebracht werden. Im vorliegenden Fall 
kam hinzu, dass das Strafverfahren — ebenso wie das Diszi- 
plinarverfahren - eingestellt worden war und schon aus die- 
sem Grund für das Dienstverhältnis nicht von so großer Be- 
deutung gewesen sein kann, dass die hierüber entstandenen 
Unterlagen drei Jahre in der Personalakte hätten aufbewahrt 
werden müssen. 

Nicht zuletzt auch unter Berücksichtigung des Grundsatzes 
der Verhältnismäßigkeit halte ich die analoge Anwendung 
der in § 69a ZDG festgelegten Aufbewahrungsfristen für die 



Drucksache 15/888 


- 156 — 


Deutscher Bundestag - 15. Wahlperiode 


im strafgerichtlichen V erfahren entstandenen V erwaltungs- 
vorgänge für wesentlich sachgerechter und bin der Ansicht, 
dass auch diese Vorgänge - genau wie Disziplinarvorgänge - 
nach einem Jahr aus der Personalakte der Zivildienstleisten- 
den zu entfernen und zu vernichten sind. Ich habe das BAZ 
daher aufgefordert, die im st rafgerichtlichen Verfahren ent- 
standenen Verwaltungsvorgänge in dem an mich heran- 
getragenen Fall aus der Pe rsonalakte zu entfernen und zu 
vernichten und auch die Personalakten aller anderen Zivil- 
dienstleistenden und ehemalig en Zivildienstleistenden auf 
vergleichbare Vorgänge, die ebenfalls zu vernichten sind, zu 
überprüfen. Das BAZ hat meine Rechtsauffassung letztend- 
lich akzeptiert und auch seine internen Richtlinien über die 
Aufbewahrung und Vernichtung der durch ein strafgericht- 
liches Verfahren entstandenen Verwaltungsvorgänge, die in 
einigen Fällen sogar eine achtjährige Aufbewahrung vorsa- 
hen, meinem Vorschlag entsprechend auf der Grundlage der 
Fristen des § 69a ZDG neu gefasst. 

31.2 Datenspeicherung bis zum Rentenalter? 

Anlässlich eines Kontrollbesuchs beim Bundesamt für den 
Zivildienst (BAZ) hatte ich festgesteht, dass dort die mikro- 
verfilmten Personalakten der Zivildienstleistenden bis zur 
Vollendung des 60. Lebensjahres aufbewahrt und gleichzei- 
tig in einer Archivdatenbank ebenfalls bis zum 60. Lebens- 
jahr gespeichert werden. Die Rechtmäßigkeit dieser - noch 
dazu doppelten - Datenspeicherung konnte ich nicht erken- 
nen, da gern. § 36 Abs. 5 Zivi ldienstgesetz die Personalak- 
ten nur solange aufzubewahren sind, wie dies zur Erfüllung 
der Dienstpflicht oder aus versorgungsrechtlichen Gründen 
tatsächlich erforderlich ist. Ich forderte daher die Löschung 
der Datensätze derjenigen Zivildienstleistenden aus der Ar- 
chivdatenbank, denen seit Mitte der Achtzigerjahre eine 
Dienstzeitbescheinigung ausgestellt wurde, bereits mit Voll- 
endung des 45. Lebensjahres. 

Seine ablehnende Haltung hinsichtlich der Löschung dieser 
Datensätze begründete das BAZ mit der V ielzahl der Zivil- 
dienstleistenden und Bausoldaten der ehemaligen DDR. Bei 
diesem Personenkreis wurden die Dienstzeiten gern. Eini- 
gungsvertrag erst ab dem 3. Oktober 1990 an die Rentenver- 
sicherungsträger übermittelt. Die davor liegenden Dienst- 
zeiten sind nur im BAZ nachgewiesen. Ohne diese Daten 
kann das BAZ keine der häufigen Rückfragen der Renten- 
versicherungsträger beantworten; die Betrof fenen verlören 
ohne die Auskünfte des BAZ einen Teil ihrer Rentenansprü- 
che. Das gleiche gilt für die \brdienstzeiten bei der ehemali- 
gen Nationalen Volksarmee, wenn der Dienstpflichtige spä- 
ter als Kriegsdienstverweigerer anerkannt wurde. Das BAZ 
macht geltend, dass eine Unterscheidung der einzelnen Per- 
sonenkreise maschinell nicht möglich sei und eine Datenlö- 
schung daher nur „von Hand“, d. h. nach vorher gehender 
Akteneinsicht, erfolgen könnte. Dies sei aber aus Kosten- 
gründen nicht zu vertreten. 

Da die Vordienstzeiten der genannten Personenkreise teil- 
weise mit automatisiertem Date nsatz gespeichert, teilweise 
aber auch nur den mikroverfilmten W ehrstammakten ent- 
nommen werden können, ist nach Darstellung des BAZ 
auch die doppelte Datenspeicherung unverzichtbar. 

Eine maschinelle Löschung der Datensätze werde allerdings 
ab dem Jahrgang 1973 erfolgen, da ab diesem Jahrgang ent- 
sprechende Dienstzeiten nicht mehr anfallen können. 


Die Begründung des BAZ halte ich für zutref fend. Im Inte- 
resse der Betrof fenen habe ich gegen die vor geschlagene 
Regelung keine datenschutzrechtliche Bedenken erhoben. 
Hinsichtlich der Behandlung der mikroverfilmten Akten ab 
dem Jahrgang 1973 bin ich mit dem Bundesministerium für 
Familie, Senioren, Frauen und Jugend noch im Gespräch. 

32 Internationale Zusammenarbeit und 

Datenschutz im Ausland 

32.1 Der 11. September 2001 - Auswirkungen 

auf den Datenschutz auch international 

Die Terroranschläge vom 1 1. September 2001 haben die 
Situation des Datenschutzes grundlegend verändert, und 
zwar nicht nur innerhalb der USA, sondern weltweit. Als 
erste Reaktion verabschiedete der Kongress noch im Okto- 
ber 2001 den USA Patriot Act, der vor allem für Strafverfol- 
gung und Geheimdienste erweiterte Kontrollbefügnisse im 
Bezug auf die T elekommunikation und das Internet und 
schärfere Maßnahmen gegen di e Geldwäsche brachte. Par- 
allel dazu laufen Anstrengungen zur Intensivierung des in- 
ternationalen Datenaustausches (vgl. dazu auch Nr. 2). 

Im November 2002 hat der Präsident dem Kongress den 
„Homeland Security Bill“ vor gelegt. Es handelt sich dabei 
um eine Vielzahl von neuen Regelungen und Änderungen 
geltender Bestimmungen. Sein Kernstück ist die Schaf füng 
des „Departement of Homeland Security (DHS)“ einer Art 
Super-Sicherheitsbehörde, ln ihr sollen 22 bestehende Bun- 
desbehörden zusammengeführt werden, darunter Geheim- 
dienste, die Küstenwache, der Zoll und die Grenzpolizei. 
Das DHS wird etwa 170 000 Menschen beschäftigen. Ne- 
ben umfangreichen organisatorischen und dienstrechtlichen 
Bestimmungen enthält der Entwurf z. B. ein Programm zur 
Förderung von Anti-T error-Technologien, Erleichterungen 
des Datenexports an andere Staaten - und damit des Austau- 
sches - einschließlich solcher Daten, die durch elektroni- 
sche Abhörverfahren gewonnen wurden. W eiterhin werden 
„kritische Infrastrukturen“ vom Freedom of Information 
Act ausgenommen und damit der öf fentlichen Information 
entzogen. Innerhalb der neuen Sicherheitsbehörde sollen ein 
Beauftragter für Menschenrechte und Bür gerfreiheiten er- 
nannt werden, der Hinweise n auf Grundrechtsverletzungen 
nachgehen soll, und ein Privacy Policy Of ficer (also ein in- 
terner Datenschutzbeauftragter), der für den Datenschutz 
primär verantwortlich sein soll. Der Datenschutz findet da- 
mit zwar Erwähnung, von einer ef fektiven unabhängigen 
Kontrolle nach europäischem Standard bleibt die Regelung 
aber weit entfernt. 

Parallel zu dieser Neuor ganisation des Sicherheitsbereichs 
hat die US-Regierung unter dem Namen „Total Infonnation 
Awareness“ ein außerordentlich umfangreiches und ehr gei- 
ziges Entwicklungsprojekt mit einem V olumen von mehre- 
ren hundert Millionen Dollar aufgelegt. Es zielt darauf, vor- 
handene Informationstechnik im größtmöglichen Maßstab 
einzusetzen und neue T echnologien zu entwickeln, um an- 
hand von Mustern, Modellen und Algorithmen im Wege ei- 
nes gigantischen data mining terroristische Aktivitäten früh- 
zeitig zu entdecken, die Akteure zu erkennen und zu orten 
und so den Sicherheitsorganen einen raschen Zugriff zu er- 
möglichen. Binnen fünf Jahren soll dazu ein Prototyp ent- 
stehen. Neben der Nutzung vorhandener Datenbestände sol- 
len neue Datenquellen erschlossen werden, etwa durch 



Deutscher Bundestag - 15. Wahlperiode 


- 157 — 


Drucksache 15/888 


Videoüberwachung und Biometrie. Das Ergebnis wäre eine 
Datenbank einer völlig neuen Größenordnung. 

Das Programm wurde dem dazu neu errichteten „Infonna- 
tion Awareness Office (IAO)“ übertragen, das Teil des mili- 
tärischen Forschungsinstituts DARP A ist. Das Logo des 
IAO zeigte ein alles sehendes Auge auf der Spitze einer Py- 
ramide und den Slogan „Scientia est Potentia“ (W issen ist 
Macht). Ein Kommentator der W ashington Post bemerkte, 
niemand hätte sich einen Plan ausdenken können, der besser 
geeignet wäre, das Orwell lesende Publikum in Angst und 
Schrecken zu versetzen (Editorial vom 16. November 2002 
S. A 20). 

Das Auge und der Slogan wurden zwar inzwischen entfernt. 
Aber in der amerikanischen Öf fentlichkeit - und nicht nur 
dort - bleibt die Befürchtung, dass die Maßnahmen zu ei- 
nem dichten Netz modernster Massenüberwachungstechno- 
logie führen wird, mit dessen Hilfe in einem bisher kaum 
vorstellbaren Ausmaß Daten über rechtmäßige Aktivitäten 
gesetzestreuer Bürger gesammelt werden, die dann - legal 
oder illegal - für die verschiedensten Zwecke V erwendung 
finden könnten. 

Die amerikanischen Vorhaben sind auch für Nicht-US-Büiger 
von größter Bedeutung. Einbezogen werden nicht nur die Da- 
tenbestände des Finanz- und des Verkehrssektors (Geld- und 
Reisebewegungen), sondern prinzipiell jeder Datenbestand, 
also beispielsweise Kunden- oder Arbeitnehmerdaten der ge- 
samten Wirtschaft, gleichgültig ob sie über das Internet zu- 
gänglich sind. So können die Käufer bestimmter W aren 
ebenso relevant werden wie die Leser bestimmter Medien, 
Patienten mit bestimmten Diagnosen oder V erschreibungen 
und die Besucher bestimmter V eranstaltungen. Spätestens 
wenn amerikanische Unternehmen oder deren europäische 
Töchter oder auch europäische Unternehmen mit Niederlas- 
sungen in den USA über solche Daten verfügen, werden diese 
Gegenstand der „T otal Information Awareness“. Die Dro- 
hung der US-Regierung, ausländischen Fluglinien die Lande- 
rechte in den USA zu entziehen, wenn sie nicht bereit sind, 
den amerikanischen Behörden umfassenden Zugriff auf ihre 
Online-Buchungs-Systeme zu gewähren, macht nur zu deut- 
lich, wie schnell auch Daten von Personen, die sich weit ab 
vom Einfluss amerikanischer Sicherheitsbehörden wähnen, 
in deren Reichweite gelangen werden. 

Es zeigt sich, dass die Maßnahmen zur Bekämpfung des 
Terrorismus und ihre datenschutzmäßigen Implikationen 
nicht weniger international si nd wie die terroristische Be- 
drohung selbst. Die Konsequenz kann nur in einer stärkeren 
internationalen Koordination de r Datenschutzpolitik beste- 
hen. Sie muss wesentlich auch von den unabhängigen Da- 
tenschutzbehörden geleistet werden. Es ist daher dringender 
den je, dass endlich auch die USA über eine unabhängige 
Datenschutzinstanz verfügen. 

32.2 Datenschutz im Europarat 

Mit der Aufnahme von Armenien und Aserbaidschan ist die 
Zahl der Mitglieder des Europarates auf 43 angewachsen. 
Mit Verabschiedung der Ratifi kationsgesetze in Lettland 
und Litauen aus dem Jahre 2001 sind mittlerweile 23 Staa- 
ten dem „Übereinkommen zum Schutz des Menschen bei 
der automatischen Verarbeitung personenbezogener Daten“ 
— der Europaratskonvention 108 — aus dem Jahre 1981 bei- 
getreten (die Konvention und die dazu ergangenen Empfeh- 


lungen und Berichte sind - in englisch und französisch - ab- 
rufbar über http://www.coe.int/T/E/Legal_affairs/Legal_co- 
operation/Data_protection/) . 

Einer Bestandsaufnahme der Konvention 108 und Überle- 
gungen für ihre Weiterentwicklung diente eine vom Europa- 
rat und meiner polnischen Kollegin am 19. und 20. Novem- 
ber 2001 in W arschau organisierte Konferenz. W eitere 
Themenschwerpunkte befassten sich mit den grenzübergrei- 
fenden Antwortversuchen des Datenschutzes auf die Her- 
ausforderungen der Infonnationsgesellschaft und den Rech- 
ten des Einzelnen in der globalisierten vernetzten Welt. 

Nach der Verabschiedung eines Empfehlungsentwurfs über 
den Schutz von personenbezogenen Daten, die zu V ersiche- 
rungszwecken erhoben und verarbeitet werden (zu den Vor- 
arbeiten s. 16. TB, 17. TB und 18. TB je Nr. 32.1), schloss 
die Projektgruppe Datenschutz (CJ-PD) den dazugehörigen 
Begleitbericht ab. Das Gesamtpaket wurde vom Ministerko- 
mitee am 18. September 2002 verabschiedet und als Emp- 
fehlung R(02)9 angenommen. Die CJ-PD beschäftigte sich 
außerdem mit einem Sachverständigenbericht über den 
Schutz der Privatsphäre im Zusammenhang mit der V ideo- 
überwachung und beschloss die Ausarbeitung eines Kata- 
logs von Leitgrundsätzen zum Schutz des Einzelnen bei der 
Erhebung und Verarbeitung personenbezogener Daten. Das 
Ziel der Leitgrundsätze hegt darin, die Garantien für die Be- 
troffenen beim Einsatz von videogestützter Überwachungs- 
technik zu präzisieren und je nach Sachlage (Beobachten, 
Beschaffen oder Speichern von personenbezogenen Daten) 
zu erweitern. Auch diese Arbeiten standen unter dem Ein- 
druck des 11. September 2001, was u. a. dadurch zum Aus- 
druck kam, dass verschiedene Staaten eine Ausklammerung 
der Videoüberwachung der Polizeibehörden vom Anwen- 
dungsbereich der Leitgrundsätze forderten. Allerdings 
stellte sich die Mehrheit der Gruppenmitglieder diesem An- 
sinnen mit dem Hinweis entgegen, dass die Leitgrundsätze 
den Einsatz von V ideoüberwachung zu polizeilichen Zwe- 
cken nicht grundsätzlich verbieten, sondern das Gleichge- 
wicht zwischen Sicherheitsbedürfnis und der Achtung der 
Grundrechte und Grundfreiheiten garantieren wollen. 

Auch der Beratende Ausschuss des Europaratsübereinkom- 
mens (T-PD) führte einen Meinungsaustausch zur Situation 
nach den Anschlägen vom 1 1. September 2001 durch. Das 
Gremium sah sich zu dem Hinweis veranlasst, dass der 
Schutz personenbezogener Daten einerseits und die V erfol- 
gung von Straftaten und insbesondere der Kampf gegen den 
Terrorismus andererseits kein Gegensatzpaar bilden, jedoch 
die Notwendigkeit der Terrorismusbekämpfüng und die Ach- 
tung der Grundrechte und Grundfreiheiten im Gleichgewicht 
bleiben müssen. Da unverhältnismäßige Maßnahmen diese 
Rechte und Freiheiten nachhaltig beeinflussen können, plä- 
dierte der Ausschuss T-PD für die Berücksichtigung entspre- 
chender datenschutzrechtlicher Regelungen im Rahmen der 
von den Justizministem beabsichtigten Maßnahmenpakete. 

32.3 Ein Blick in europäische Länder 
außerhalb der Union 

32.3.1 Der Europäische Wirtschaftsraum 
und die Schweiz 

Nachdem Norwegen und Island als Mitglieder des Europäi- 
schen Wirtschaftsraums (EWR), für den die EG-Daten- 
schutzrichtlinie nach Aufnahme in das Abkommen über den 
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EWR volle Wirksamkeit entfaltet (vgl. 17. TB Nr . 32.2.1), 
ihre Datenschutzgesetze an di e Vorgaben der Richtlinie an- 
gepasst haben (vgl. 18. TB Nr. 32.2.1), hat nun auch Liech- 
tenstein ein Datenschutzgesetz erlassen (Gesetz vom 
14. März 2002, Landesgesetzblatt Nr. 55 vom 8. Mai 2002). 

ln der Schweiz soll das eidgenössische Bundesgesetz über 
den Datenschutz aus dem Jahre 1992 einer T eilrevision un- 
terzogen werden. Hierzu verabschiedete der Schweizerische 
Bundesrat am 5. September 2001 einen Entwurf. Die vorge- 
sehenen Änderungen beziehen sich u. a. auf den grenzüber- 
schreitenden Datenverkehr, die Datensicherheit, die Melde- 
pflichten, das Auskunftsrecht und den Rechtsschutz des 
Betroffenen. 

32.3.2 Die Mittel- und Osteuropäischen Staaten 

Der dem Parlament in Let tland seit dem Jahre 1998 vorlie- 
gende Regierungsentwurf gelangte im Jahre 2001 zur Ge- 
setzesreife. Die durch das Ge setz eingerichtete staatliche 
Datenschutzbehörde ist allerdings nicht unabhängig, da sie 
ihrerseits der Kontrolle durch das Justizministerium unter- 
liegt. 

Auch die gesetzgeberischen V orhaben auf Kabinetts- und 
Parlamentsebene, über die ich im 17. und 18. TB (jeweils 
Nr. 32.2.2) betreffend Bulgarien, Moldawien und Rumänien 
berichtet hatte, wurden in allen drei Ländern im Jahre 2001 
in die Tat umgesetzt. Während das bulgarische Datenschutz- 
gesetz ein unabhängiges öffentliches Kontrollorgan vorsieht, 
dessen Leiter vom Parlament gewählt wird, ist die Kontrol- 
linstanz in Moldawien in die staatliche Behördenstruktur 
eingebunden, ln Rumänien überwacht ein so genannter 
Volksanwalt die Einhaltung des Datenschutzgesetzes; den 
Betroffenen steht in Schadensfällen der Rechtsweg offen. 

ln der Ukraine brachte die Regierung im Jahr 2001 den Ent- 
wurf eines Datenschutzgesetzes in das Parlament ein. 

Die Mitglieder der neu einge richteten bulgarischen Daten- 
schutzkommission habe ich im Dezember 2002 zu einem 
einwöchigen Besuch in meiner Dienststelle empfangen, um 
ihnen Erfahrungen der Kontrollpraxis zu vermitteln. 

32.4 Entwicklungen im nicht europäischen 
Ausland 

Nachdem Chile im Jahre 1999 als erstes südamerikanisches 
Land die Verarbeitung personenbezogener Daten im öffent- 
lichen und privaten Bereich einer gesetzlichen Regelung zu- 
geführt hatte (vgl. 18. TB Nr . 32.3), besitzt nunmehr auch 
Argentinien ein Datenschutzgesetz, das als „Habeas Data“ 
im Wesentlichen auf dem spanischen Datenschutzgesetz 
und auf Elementen der EG-Datenschutzrichtlinie aufbaut. 
An bereichsspezifischen Regelungen wurden im Jahre 2001 
in Peru ein „Gesetz über die Kreditauskunfteien“ und in Ve- 
nezuela ein „Gesetz zur Datenübertragung und digitalen Si- 
gnatur“ verabschiedet. Dem brasilianischen Parlament liegt 
ein stark an die EG-Datenschutzrichtlinie angelehnter Re- 
gierungsentwurf für ein allgemeines Datenschutzgesetz vor, 
während sich in Chile als erste sektorielle Regelung für das 
dortige Datenschutzrecht der Entwurf eines Gesetzes über 
die digitale Signatur im pari amentarischen Verfahren befin- 
det; in den Ausschussberatungen fand u. a. das deutsche 
Signaturgesetz aus dem Jahre 1997 inver gleichender Per- 
spektive Berücksichtigung. 


Das Datenschutzbewusstsein in den USA nahm im Berichts- 
zeitraum weiter zu. V otierten vor der Jahrtausendwende 
noch 57 % aller US-Bürger grundsätzlich für eine gesetz- 
liche Regelung des Umgangs mit personenbezogenen Daten 
(vgl. 18. TB Nr. 32.3), so waren es nach einer Gallup-Um- 
frage aus dem Jahre 2001 bereits zwei Drittel aller Befrag- 
ten, die die Auf fassung teilten, der Bundesgesetzgeber 
müsse entsprechend tätig werden. Laut Umfrage sind nahezu 
80 % aller E-Mail-Nutzer und Intemetsurfer beunruhigt über 
den Schutz ihrer Privatsphäre und 28 % sind sehr beun- 

ruhigt, insbesondere wenn es online um die Preisgabe der 
Kreditkartennummer oder der Sozialversicherungsnummer 
geht. Die hoffnungsvollen Ansätze aus der Zeit der Clinton- 
Administration (vgl. 18. TB Nr. 32.2) wurden jedoch nicht 
weiterverfolgt. Die derzeitige amerikanische Regierung 
konzentriert sich - zumal seit dem 1 1. September 2001 - 
ganz auf das Thema Sicherheit; im gleichen Zuge wird der 
Datenschutz abgebaut (vgl. oben 32.1). Als Reaktion treten 
Nichtregierungsorganisationen aus Verbraucher- und Bür- 
gerrechtsorganisationen zunehmend gemeinsam auf, um auf 
die Schaffung und Durchsetzung von Datenschutzregeln zu 
drängen. Insbesondere sollen die Kongressabgeordneten auf 
die bestehenden rechtlichen Defizite und die Forderungen 
aus Datenschutzsicht aufmerksam gemacht werden, zu de- 
nen insbesondere die Offenlegung der Datenverarbeitungs- 
praktiken der Unternehmen („notice“), das W ahlrecht der 
Konsumenten hinsichtlich der Datenverarbeitung („choice“) 
sowie eine unabhängige Kontrollinstanz zählen. 

Der „Personal Infonnation Protection and Electronic Docu- 
ments Act“, der in Kanada den Datenschutz im privaten Be- 
reich erstmals umfassend regelt, war in einer ersten Stufe 
am 1. Januar 2001 in Kraft getr eten (vgl. 18. TB Nr. 32.3). 
Er galt bisher nur für personenbezogene Daten über Kunden 
und Beschäftigte, die von Organisationen, die unter Bundes- 
recht fallen, im Zuge ihrer kommerziellen Tätigkeit verar- 
beitet werden. Seit dem 1. Januar 2002, dem Beginn der 
zweiten Stufe seines In-Kra ft-Tretens, findet das Gesetz 
auch auf alle Gesundheitsdaten Anwendung, über die dem 
Bundesrecht unterfallende Organisationen verfügen. In ei- 
ner dritten und letzten Stufe wird das Gesetz ab dem 1. Ja- 
nuar 2004 für alle Organisationen gelten, die im Zuge ihrer 
kommerziellen Tätigkeit personenbezogene Daten verarbei- 
ten, unabhängig davon, ob sie dem Bundesrecht unterliegen 
oder nicht. Auch Unternehmen, die der gesetzlichen Rege- 
lung durch die Provinz unterliegen, werden erfasst, solange 
die betreffende Provinz noch keine entsprechenden Daten- 
schutzregelungen erlassen hat. 

Das bisher nur auf öf fentliche Stellen anwendbare austra- 
lische Datenschutzgesetz aus dem Jahre 1988 wurde durch 
ein Änderungsgesetz in seinem Anwendungsbereich auf 
private Stellen ausgedehnt. Der im Dezember 2001 in Kraft 
getretene „Privacy Amendment (Private Sector) Act“ hält al- 
lerdings an den zahlreichen bedeutsamen Ausnahmeregelun- 
gen fest, die schon bei der Gesetzesvorlage kritisiert wurden 
(vgl. 18. TB Nr . 32.3). So bleibt es bei einer Reihe von 
Durchbrechungen des Zweckb indungsgedankens und dem 
Ausschluss so wichtiger Bereiche wie des Arbeitnehmer- 
datenschutzes, der Medien und der politischen Parteien. 

In Neuseeland, das bestrebt ist, sein Datenschutzgesetz aus 
dem Jahre 1993 an die Adäquanzkriterien der Artikel 25 und 
26 der EG-Datenschutzrichtlinie anzupassen, liegt derzeit 
dem Parlament ein entsprechender Regierungsentwurf vor. 
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Die Besuche japanischer Regierungsdelegationen in meiner 
Dienststelle haben sich mittlerweile zu einer kleinen T radi- 
tion verfestigt (vgl. 17. TB und 18. TB, jeweils Nr . 32.3). 
Der zurückliegende Gedanke naustausch aus dem Jahre 
2001 hatte die Novellierung des BDSG und die japanischen 
Reformüberlegungen für den bislang nicht gesetzlich gere- 
gelten privaten Bereich zum Gegenstand. Der schon jetzt als 
„Grundgesetz für den Datenschutz“ bezeichnete Entwurf, 
der den öffentlichen und den nicht öffentlichen Bereich ge- 
meinsam regeln soll, befindet sich noch in der parlamentari- 
schen Beratung. 

Auch in Malaysia hegt der Entwurf eines „Personal Data 
Protection Act“ vor, während die Bundesregierung in Indien 
einen IT- Aktionsplan verabschiedete, der Regelungen für 
den Umgang mit computerisierten Daten beinhaltet. 

32.5 Die Internationale Datenschutzkonferenz 

Als Pendant zu den Frühjahr skonferenzen der europäischen 
Datenschutzbeauftragten (s. o. Nr. 3.9) tagten die 23. und 
24. Internationale Datenschutzkonferenz vom 24. bis 26. Sep- 
tember 2001 in Paris und vom 9. bis 1 1 . September 2002 in 
Cardiff. 

Die Herbstkonferenz, die in der Universität Sorbonne über 
50 Delegationen aus allen Erdteilen zusammenführte, doku- 
mentierte auf eindrucksvolle W eise den weltweiten An- 
spruch des Grundrechts auf Da tenschutz. Angesichts der 
erst wenige Tage zurückliegenden Ereignisse des 1 1. Sep- 
tember mahnte die Konferenz wohlüberlegte Vorgehenswei- 
sen in dem sensiblen Spannungsfeld zwischen Sicherheit 
und Freiheit an. Der grund- und menschenrechtliche Cha- 
rakter des Datenschutzes wu rde auch von Premierminister 
Jospin hervorgehoben, der gerade unter dem Eindruck des 
jüngsten Geschehens eine für den Datenschutz ermutigende 
Rede hielt. Die Arbeitssitzungen waren einem weit ge- 
spannten Themenkatalog gewidmet, der vor allem den ein- 
zelnen (the data subject) in den Blick nahm und dabei die 
unterschiedlichen Rollen des Betrof fenen, etwa als Konsu- 
ment, Internetsurfer, Arbeitnehmer oder Patient näher be- 
leuchtete. ln meinem Beitrag zu aktuellen Fragen des Ge- 
sundheits- und Patientendatenschutzes habe ich besonders 
betont, dass in Deutschland ein breiter Konsens darüber be- 
steht, auch bei der gebotenen Automatisierung der Verarbei- 
tung und Nutzung von Gesundheitsdaten die Selbstbestim- 
mung der Patienten unverändert zu beachten. Für die 
Teilnahme an künftigen Konferenzen wurde ein Akkreditie- 
rungsverfahren festgelegt. 

Wie die Europäische Frühjahrskonferenz 2001 in Athen 
(s. o. Nr. 3.9) befasste sich auch die Internationale Konfe- 
renz von Cardiff mit dem Thema der Aufbewahrung von 
Verkehrsdaten, ln einer Entschließung stellte sich die Kon- 
ferenz Überlegungen im Rahmen des Dritten Pfeilers der 
Europäischen Union entgegen, in allen Bereich der T ele- 
kommunikation und des Internet Mindestspeicherfristen 
von einem Jahr oder länger für die bei der Nutzung dieser 
Medien anfallenden Verbindungsdaten einzuführen. Derart 
umfassende systematische Speicherungen personenbezoge- 
ner Daten zu Zwecken einer möglichen Strafverfolgung 
oder zur Wahrung anderer Sicherheitsinteressen bezeichnete 
sie als eindeutig unverhältnismäßig und in keinem Fall ak- 
zeptabel (s. Anlage 4). Wie bereits anlässlich der Vorjahres- 
konferenz in Paris widmeten sich die Delegierten - neben 


aktuellen Fragen etwa des Internet, des E-Govemment und 
der Videoüberwachung - auch in Cardif f eingehend den 
Terroranschlägen vom 1 1 . September und den Folgen für 
die Menschenrechte und Grundfreiheiten und insbesondere 
für den Datenschutz, ln einer entsprechenden Entschließung 
mahnen die Datenschutzbeauftragten das richtige Gleichge- 
wicht zwischen Sicherheitsbedürfnissen und Achtung der 
individuellen Freiheiten an, da ansonsten genau die Grund- 
freiheiten unterlaufen würden, deren Schutz beabsichtigt sei 
(s. Anlage 5). 

32.6 Organisation für wirtschaftliche 

Zusammenarbeit und Entwicklung (OECD) 

Auch im Rahmen der Gremie narbeit der OECD (Arbeits- 
gruppe Informationssicherheit und Schutz der Privatsphäre, 
WISP) fand im Berichtszeitraum eine Reihe von daten- 
schutzrechtlichen Aktivitäten statt. Unter anderem befassten 
sich eine Konferenz und Arbeitsgruppensitzungen in Den 
Haag und Paris mit Lösungsmöglichkeiten für die außer ge- 
richtliche Beilegung von grenzüberschreitenden Streitigkei- 
ten zwischen Konsumenten und Unternehmen auf dem Ge- 
biet von Online-T ransaktionen. Im V ordergrund standen 
dabei bislang Fragen des inte mationalen Privatrechts, nach 
dem sich das bei transnationalen Streitigkeiten anzuwen- 
dende Recht bestimmt. Für die weitere zu erwartende Dis- 
kussion wird die OECD eine Zusammenschau unterschied- 
licher Modelle und Mechanismen zur Beilegung von 
Konflikten und Streitigkeiten in der Welt des Netzes ohne 
gerichtliche Inanspruchnahme erarbeiten. Deren daten- 
schutzrechtliche Tauglichkeit soll in einer späteren Bera- 
tungsphase auf den Prüfstand kommen. 

Große Aufmerksamkeit widmete die OECD auch in den zu- 
rückliegenden Jahren der V erbreitung von datenschutz- 
freundlichen Technologien (Privacy Enhancing T echnolo- 
gies, PETs) zum Schutz der Privatsphäre im Internet. Kritik 
fanden die bei vielen PET -Produkten fehlenden Infonnatio- 
nen über deren Funktionalität im Einzelnen und die oft man- 
gelhaften Aussagen die Hersteller betreffend, was auf Seiten 
der Anwender entweder blindes V ertrauen voraussetzt oder 
zur Zurückhaltung führt. 

Im Rahmen ihrer Befassung mit genetischen Untersuchun- 
gen hebt die OECD die besonde re Sensibilität genetischer 
Daten hervor, die - im Vergleich zu medizinischen Daten - 
eines weiteren, besonderen Schutzes bedürfen. Ein Len- 
kungsausschuss soll für die Erstellung einer Übersicht sor- 
gen, die die einzelnen Problembereiche beim Umgang mit 
genetischen Daten unter Berücksichtigung bereits vorlie- 
gender Arbeiten des Europarats zusammenfasst. 

33 Aus meiner Dienststelle 

33.1 25 Jahre Bundesdatenschutzgesetz 

Anlässlich des 25-jährigen Jubiläums des Bundesdaten- 
schutzgesetzes habe ich am 1 1 . Juni 2002 zu einem Festakt 
nach Berlin eingeladen. Gäste waren viele Mitglieder des 
Deutschen Bundestages, Behördenleiter sowie Datenschutz- 
beauftragte von Behörden und Unternehmen. Grußworte 
sprachen der Präsident des Deutschen Bundestages, W olf- 
gang Thierse, sowie der Staatssekretär im Bundesministe- 
rium des Innern, Claus Henning Schapper . Die Festrede 
hielt die Präsidentin des Bundesverfassungsgerichts a. D„ 
Frau Prof. Dr. Jutta Limbach. 
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Einen Schwerpunkt der V eranstaltung bildete die Entwick- 
lung des Datenschutzes seit Ende der Siebzigerjahre. Das 
Volkszählungsurteil des Bundesverfassungsgerichts vom 
15. Dezember 1983, mit dem der Datenschutz Grundrechts- 
charakter erhielt, sowie die Implementierung des Daten- 
schutzes auf europäischer Ebene mit der EU -Richtlinie zum 
Datenschutz vom 24. Oktober 1995 waren Meilensteine auf 
diesem Weg. Die letzte große Herausforderung für den Da- 
tenschutz waren die Folgen des 1 1 . September. Bei den 
Maßnahmen zur T errorismusbekämpfüng wurde deutlich, 
wie notwendig, aber auch schwierig es für den Staat ist, eine 
Balance zu finden zwischen der W ahrung von Sicherheit 
und Ordnung einerseits und der gleichzeitigen Gewährleis- 
tung der Freiheitsrechte der einzelnen Bür ger andererseits. 
Schließlich wurden die künftigen Anforderungen an den 
Datenschutz thematisiert. Hierzu zählen beispielsweise die 
fortschreitende Infonnationstechnik oder auch der daten- 
schutzgerechte Umgang mit den entschlüsselten Infonnatio- 
nen des menschlichen Genoms. 

Bundestagspräsident Wolfgang Thierse würdigte das Bun- 
desdatenschutzgesetz in seinem Grußwort als „wesentlichen 
Beitrag zu unserer Demokratie kultur“. Dies schätze er als 
ehemaliger DDR-Bürger besonders; dabei nahm er Bezug 
auf die Erfahrungen mit der Stasi. 

Staatssekretär Claus Henning Schapper bezeichnete das Ge- 
setz als Meilenstein in der Geschichte der Persönlichkeits- 
rechte. Ein wesentliches Ziel der Modernisierung des Da- 
tenschutzrechts sollte es sein, die vielfach unübersichtlichen 
Datenschutzregelungen zu vereinfachen und ihre Ef fektivi- 
tät zu steigern. 

Im Rahmen ihrer Festrede warnte die ehemalige Präsidentin 
des Bundesverfassungsgerichts, Frau Prof. Dr . Jutta Lim- 
bach, vor einer ausufemden Erhebung von Daten. W egen 
der zunehmenden Bedeutung de s Datenschutzes forderte 
sie, das Recht auf informationelle Selbstbestimmung in das 
Grundgesetz aufzunehmen und auch das Amt des Bundes- 
datenschutzbeauftragten in der Verfassung zu verankern. 

33.2 Erfolgreiches Symposium in Bonn 

Seit September 2000 lade ich einmal jährlich zu einem Da- 
tenschutzsymposium nach Bonn ein. Diese V eranstaltung 
wurde vom Fachpublikum als W issens- und Diskussionsfo- 
rum mit großem Interess e angenommen. So konnte ich in 
den vergangenen Jahren jeweils mehr als 80 T eilnehmer in 
Bonn begrüßen. 

ln den ersten beiden Jahren beschäftigte sich das Symposium 
noch ausschließlich mit datenschutzrechtlichen Fragestellun- 
gen aus dem Bereich der T elekommunikation, so etwa mit 
der Novellierung der T elekommunikations-Datenschutzver- 
ordnung oder mit datenschutzrechtlichen Problemen bei der 
Telekommunikationsüberwachung. Insbesondere das Zu- 
sammenwachsen der verschiedenen Kommunikations- und 
Informationstechnologien und die darauf aufbauenden Ge- 
schäftsmodelle machten es erforderlich, das Themenspekt- 
rum des Symposiums zu erweitern. So wurden erstmals im 
Jahr 2002 auch Themen aus dem Bereich des Telediensteda- 
tenschutzes erörtert. 

Nach dem bisherigen Erfolg der V eranstaltung werde ich 
auch in den nächsten Jahren ein Symposium zu Daten- 
schutzfragen aus den neuen Medien anbieten, um damit 


Fachleuten die Gelegenheit zu geben, sich in Bonn aktuell 
informieren und austauschen zu können. 

33.3 Der Datenschutzbeauftragte im Internet 

Seit Februar 1999 ist meine Dienststelle mit einem ei- 
genen Informationsangebot im Internet vertreten. Die 
Homepage meiner Dienststelle (s. Abbildung 6) ist unter 
der Adresse http://www.datenschutz.bund.de oder http:// 
www.bfd.bund.de erreichbar. 

Im Berichtszeitraum 2001/2002 konnte ich ca. 7,3 Millionen 
Seitenanfragen verzeichnen. Das entspricht im Durchschnitt 
etwa 10 000 Seitenanfragen pro T ag. Dabei entwickelten 
sich die Zugriffszahlen insbesondere im Jahre 2002 zu mei- 
ner Freude kontinuierlich nach oben (s. Abbildung 7). 

Die meisten Zugriffe entfielen mit ca. 73 % auf die Rubrik 
„Materialien zum Datenschut z“, die unter anderem meine 
Tätigkeitsberichte, meine Infonnationsbroschüren „BfD- 
1NFO 1 bis 5“ wie auch Entschließungen der Datenschutz- 
konferenzen und einschlägige Gesetze und V erordnungen 
enthält. 

Mein Intemetangebot unterliegt einer stetigen W eiterent- 
wicklung. So habe ich die in 2002 überarbeiteten BfD-lnfos 1 
und 5 bereitgestellt und das Layout meiner Tätigkeitsbe- 
richte aus 1995/96 und 1997/98 vereinheitlicht. Diese Maß- 
nahmen und weitere geplante Verbesserungen sind auch mit 
dem eGovernment-Projekt „BundOnline 2005“ der Bundes- 
regierung abgestimmt. 

Mein Internetangebot ist auf einem Server beim Compe- 
tencecenter Infonnationsverbund Berlin-Bonn (CC IVBB) 
eingerichtet. Das CC betreibt auch eine zentrale Firewall für 
den Intemetzugang aller Ober sten Bundesbehörden sowie 
Server für das Intranet- Angebot des Bundes im IVBB. 

33.4 Einführung der gleitenden Arbeitszeit 

Seit dem 1. Mai 2001 nimmt meine Dienststelle mit Unter- 
stützung des Bundesverwaltungsamtes an dem Modellpro- 
jekt „Arbeitszeitflexibilisierung“ teil. Hierzu habe ich eine 
Dienstvereinbarung mit dem Personalrat im Bundesministe- 
rium des Innern abgeschlossen. Bei dem Modellvorhaben 
wird auf eine so genannte Kernarbeitszeit, in der alle Be- 
diensteten anwesend sein müssen, verzichtet. Stattdessen ist 
eine Servicezeit eingerichtet, in der in jeder Or ganisations- 
einheit der Behörde ein komp etenter Ansprechpartner er- 
reichbar sein muss. Auf eine Einwirkung oder Kontrolle 
durch Vorgesetzte wird weitgehend verzichtet. Gefordert 
werden dagegen die Eigenve rantwortung der Mitarbeiter 
und die Absprache der Bediensteten untereinander. 

Die bisherigen Erfahrungen mit dem Modellprojekt zeigen 
ein hohes Maß an Zufriedenheit der Mitarbeiter, eine intensi- 
vere Kommunikation und eine verbesserte Zusammenarbeit. 

33.5 Neues Informationsmaterial 

Die Umsetzung der Europäischen Datenschutzrichtlinie 
95/46/EG vom 24. Oktober 1995 in deutsches Recht mit der 
am 23. Mai 2001 in Kraft getretenen Novellierung des Bun- 
desdatenschutzgesetzes erforderte auch eine Überarbeitung 
der vom BfD herausgegebenen Infonnationsbroschüren. 
Mit der neu konzipierten „BfD -INFO 1“ wurde eine Basis- 
information bereitgestellt, die neben dem Gesetzestext und 
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weiteren wichtigen Materialien eine kurze Einführung in 
das BDSG enthält. Diese soll helfen, sich die nicht immer 
einfache Materie des Datenschutzrechtes zu erschließen. 
Die mit 25 000 Exemplaren aufgelegte INFO 1 wurde von 
den Bürgerinnen und Bürgern gut angenommen und ist nach 
wenigen Monaten nahezu vergriffen. Eine Neuauflage ist in 
Vorbereitung. 

Die zum Ende des Jahres 2002 neu erstellte „BfD-INFO 4“ 
informiert über die in der Novelle erfolgten Regelungen für 
die behördlichen und betrieblichen Datenschutzbeauftrag- 
ten. Sie soll eine Hilfestellung geben für diejenigen, die mit 
der wichtigen Aufgabe des internen Datenschutzbeauftrag- 
ten betraut werden. Zugleich sollen aber auch interessierte 
Bürger und Mitarbeiter in einem Unternehmen oder einer 
Verwaltung Gelegenheit haben, sich über die Aufgaben „ih- 
res“ Datenschutzbeauftragten zu informieren. 

Die in der T elekommunikation eingesetzten T echnologien 
erzeugen eine V ielzahl von Daten, bei denen in der Mehr- 
zahl ein Personenbezug zu dem jeweiligen Nutzer des Tele- 
kommunikationsdienstes besteht. Vor diesem Hinter grund 
bestand schon früh ein Infonnationsbedürfnis der Bürger, zu 
erfahren, wie in diesem auch durch das Gebot des Femmel- 
degeheimnisses gekennzeichneten Bereich mit ihren Daten 
umgegangen werden darf. Se it März 1998 wird unter dem 
Titel „Datenschutz in der T elekommunikation“ die „BfD- 
INFO 5“ herausgegeben, die mi ttlerweile in der fünften 
Auflage vorliegt. Darin wird ein Überblick über die ein- 
schlägigen gesetzlichen Regelungen und ihre Auslegung in 
der Praxis gegeben. 

33.6 Mehr E-Mail-Sicherheit mit SPHINX 

Sowohl im dienstlichen als au ch im privaten Bereich wer- 
den immer häufiger Infonnationen oder Dokumente in elek- 
tronischer Form ausgetauscht. Öf fentliche Stellen streben 
eine interaktive Kommunikation untereinander , mit den 
Bürgern und der Wirtschaft an, um z. B. die Auskunftsertei- 
lung, die Bearbeitung und Versendung von Verwaltungsvor- 
gängen und die Kommunikation untereinander einfacher 
und kostengünstiger über das Internet durchführen zu kön- 
nen. 

Der bisher geübte, meist ungesicherte E-Mail-Austausch 
wird durch die Einführung von elektronischen Signaturen 
und Verschlüsselungen sicherer und rechtsverbindlicher; 
leider aber auch komplizierter und technisch aufwendiger . 
Solche Verfahren ermöglichen aber die Sicherstellung der 
Vertraulichkeit der Daten durch deren V erschlüsselung so- 
wie den Nachweis der Integrität der Daten und der Überprü- 
fung ihres Urhebers. 

Um eine sichere Übertragung insbesondere personenbezo- 
gener Daten zu gewährleisten, wurde in der Bundesverwal- 
tung unter Führung des Bundesministeriums des Innern und 
fachlicher Unterstützung durch das Bundesamt für Sicher- 
heit in der Informationstechnik — unter anderem auch mein 
Haus - mit einer Signier- und Verschlüsselungssoftware aus 
der Produktfamilie „SPHINX“ ausgestattet. 

SPHINX soll im Rahmen einer V erschlüsselung/Signatur 
Ende-zu-Ende-Sicherheit vom Sender bis zum Empfänger 
sicherstellen. DieVer- bzw. Entschlüsselung einer E-Mail 
erfolgt ausschließlich in den Rechnern der E-Mail-Partner . 
Diese Ende-zu-Ende-Verschlüsselung bietet einen größt- 


möglichen Schutz der Nachrichten vor externen Eingrif fen. 
Ein Schutz vor Viren und ähnlichen Risiken in einer E-Mail 
ist jedoch nur dann gewährleistet, wenn entsprechende 
Schutzmaßnahmen auf den beteiligten Computern installiert 
sind, ln den zentralen Sicherheitssystemen — wie Firewall 
oder Virenscanner - kann eine verschlüsselte E-Mail nicht 
geprüft werden. 

Die Planungen gehen derzeit dahin, in der Bundesverwal- 
tung die elektronische Signatur und die Verschlüsselung für 
E-Mail und schutzwürdige Dateien in breitem Umfang unter 
Nutzung der genannten Produktfamilie einzuführen. Als 
Zertifizierungsdiensteanbieter wird das T rust-Center der 
Deutschen Telekom AG (Telesec) genutzt. 

Die derzeitigen Anwendungsmöglichkeiten zeigen j edoch, 
dass die flächendeckende Einführung noch auf sich warten 
lassen muss, da der Nutzerkr eis noch sehr eingeschränkt 
ist. Eine beschleunigte Verbreiterung innerhalb der Behör- 
den - nicht nur der Bundesverwaltung — wäre wünschens- 
wert, zumal verschiedene Behörden auf andere Verschlüsse- 
lungssoftware setzen, um eine datenschutzgerechte 
Kommunikation sicherzustellen. 

33.7 Dienstanweisung E-Mail - Vertretungs- 
regelung bei privater Nutzung 

Wie auch schon in meinem 18. TB (Nr . 33.4.2) berichtet, 
werden die Möglichkeiten der elektronischen Datenüber- 
mittlung auch in meiner Dienststelle immer stärker genutzt. 
Der Schwerpunkt der Korrespondenz liegt zwar noch bei 
der „guten alten“ Briefpost und beim Fax, allerdings geht 
der Trend heute unübersehbar zum elektronischen Doku- 
mentenaustausch (E-Mail). Dies nicht allein aus wirtschaft- 
lichen Überlegungen, sondern auch weil E-Mail die Über- 
mittlung und weitere Bearbeitung von Dokumenten 
vereinfacht und die kurzen Laufzeiten der Nachrichten die 
Arbeit effektiver machen — dies sowohl innerhalb der 
Dienststelle als auch mit externen Kommunikationspart- 
nem. Für den Umgang und den Geschäftsgang innerhalb 
meiner Dienststelle habe ich eine „Dienstanweisung E-Mail“ 
erlassen (Abdruck s. 18. TB Anlage 28). 

ln Diskussion geriet seit dem In-Kraft-Treten dieser Dienst- 
anweisung die Vertretungsregelung bei Abwesenheit eines 
Beschäftigten. Dadurch, dass die private Nutzung in einge- 
schränktem Umfang erlaubt ist, bestand bei der bisher favo- 
risierten Regelung die Gefahr, dass durch die automatische 
Weiterleitung auch private Zusendungen von Kollegen zur 
Kenntnis genommen werden konnten. Im Zuge der Überar- 
beitung der „Dienstanweisung E-Mail“ habe ich nunmehr 
folgende Regelung in Kraft gesetzt: Durch eine automati- 
sche Antwort, die durch den Abwesenheitsassistenten akti- 
viert wird, kann der Absender einer E-Mail aufgefordert 
werden, die Mitteilung erneut zu senden und an das angege- 
bene Referatspostfach zu adre ssieren. Alternativ kann auch 
die bisherige Weiterleitungsfunktion genutzt werden, wenn 
der betreffende Nutzer dies so wünscht. W enn der Nutzer 
keine Regelung im Abwesenheitsassistenten generieren 
kann, z. B. bei unvorhersehbarer längerer Abwesenheit, 
richtet der Systemadministrator für den PC des Abwesenden 
ein neues Passwort ein, mit de ssen Hilfe der V ertreter des 
Abwesenden in Anwesenheit des Systemadministrators 
oder eines weiteren Angehörigen des betref fenden Referats 
das elektronische Postfach auf dienstliche Einsendungen hin 
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sichtet und im Abwesenheitsassistenten die Regel zur auto- 
matisierten Antwort an den Einsender hinterlegt. Danach 
wird der PC herunter gefahren, vom Systemadministrator 
mit einem neuen Passwort versehen und somit bis zur Rück- 
kehr des Nutzers für den Zugang gesperrt. 

Der geänderten „Dienstanweisung E-Mail“ hat die Personal- 
vertretung zugestimmt. Sie wirdauch in Zukunft immer wie- 
der überarbeitet werden, we nn technische Entwicklungen, 
aber auch praktische Erfordernisse dies notwendig machen. 

33.8 Neuerungen aus der Informationstechnik 

- Umstellung auf ein modernes Netzwerk 

ln meiner Dienststelle wurde im Mai 2002 das Netzwerk auf 
eine neue Plattform gestellt. Das bisherige A TM-Netzwerk 
entsprach nicht mehr den heutigen Anforderungen an 
schnelle und wartungsarme Netzwerke auf der Grundlage 
des Intemetprotokolls (IP ). Neben den hohen jährlichen 
Wartungskosten trat beim ATM-Netzwerk der unangenehme 
Nebeneffekt auf, dass keine Unterstützung im Bereich von 
Netzwerkkarten mehr stattfand. Durch die Rückzahlung der 
nicht verbrauchten W artungsleistungen wurden die An- 
schaffüngskosten für die neuen aktiven Netzkomponenten 
(IP-Switche) abgedeckt; gleichzeitig wurden in den Arbeits- 
platzrechnem preiswerte Netzwerkkalten eingesetzt. Die 
neuen Netzwerkkomponenten sind vollkommen wartungs- 
frei und bilden nunmehr die Basis für ein 100 Mb/s Netz; 
den Backbone bildet ein Gigabit-Netzwerk. 

- Neuanschaffung der Server und Einsatz von freier und 
offener Software 

Ende 2002 erfolgte die Umrü stung fast aller Server auf 
Open-Source-Software (s. hierzu Nr. 4.4 und zur Definition 
von Open-Source-Software mi t den dazugehörenden Li- 
zenzbedingungen Nr. 8.8 im 18. TB). Die Umstellung 
wurde in mehreren Schritten vor genommen. Nach der Lie- 
ferung im November 2002 wurden die Systeme zunächst 
grundkonfiguriert. Bisher wurde zur Datenhaltung der Be- 
nutzerdaten ein Novell-File-Server eingesetzt. Dieser Server 
wurde durch einen gedoppelten Se rver ersetzt, der auch die 
Anmeldedienste übernimmt. Konkret kommen hier Samba 
und OpenLDAP unter Linux (SuSE Enterprise) zum Ein- 
satz. Die Kopplung der Systeme wird durch Heartbeat über- 
wacht und die Daten werden über drbd (Distributed Repli- 
cated Block Device) gespeichert. Damit wird das alte 
System durch ein hochausfallsicheres System ersetzt. 

Ein weiteres ausfallsicheres System wird als Intranet-W eb- 
Server eingesetzt. Auf diesem System werden auch die 
Netzwerkbasisdienste DHCP und DNS bereitgesteht. Die 
Systeme sind seitens der T echnik mit den oben genannten 
identisch. 

Für den Aufbau der Intemetservices im Rahmen von 
BundOnline 2005 ist ein weiteres System vor gesehen. 
Künftig soll das Intemetangebot des BfD auf diesem Sys- 
tem zur Verfügung gesteht werden. 

Der Server für das Dokumentenmanagementsystem wird 
voraussichtlich erst 2003 um gestellt; die Ablösung des 
(kleinen) Systems für den V irenschutz der Clients ist noch 
offen (s. Abbildung 8). 

Für 2003 plane ich - zunächst probeweise — den Einsatz 
von Open-Source-Clients unter Linux. Die zum Einsatz 


kommende Software soll hauptsächlich unter der GNU Ge- 
neral Public License stehen oder zumindest an diese ange- 
lehnt sein. So wird z. B. an KDE als Benutzeroberfläche ge- 
dacht; als Office-System soll OpenOffice und zum Surfen 
im Internet Mozilla genutzt werden. K-Mail soll mit 
Sphinx-Zusatz als Mail-Client dienen, Kroupware soll als 
Ersatz der derzeitigen Nutzerumgebung des Personal Infor- 
mation Manager mit Kolab als Serverkomponente einge- 
setzt werden. 

Ausschlaggebende Überlegungen für die Migration sind 
Kostenvorteile, Sicherheitsaspekte und die strategische 
Ausrichtung der Bundesregierung zur Open-Source-Soft- 
ware hin. Auch hinsichtlich V erfügbarkeit und leichterer 
Wartung werden Vorteile gesehen. Ziel ist es, die einseitige 
Abhängigkeit von einzelnen Herstellern zu lösen. Der Ein- 
satz von Open-Source-Software wird durch Beschlüsse des 
Bundestags gefordert und vom BMI/Bundesamt für Sicher- 
heit in der Infonnationstechnik gefördert. Die Ablösung der 
Server war notwendig, da die Hardware z. T. älter als fünf 
Jahre war und die Software nicht mehr unterstützt wurde. 

Ein erhöhter Schulungsaufwand im Serverbereich ist nicht 
zu befürchten, da — wie in vielen Unternehmen und Behör- 
den — Unix/Linux Kenntnisse vorhanden sind. Bei den An- 
wenderinnen und Anwendern müssen umfangreiche Schu- 
lungsmaßnahmen durchgeführt werden. Allerdings ist eine 
Neuschulung auch bei proprietärer Software notwendig, da 
sich dort die neuen Produkte erheblich von den heute einge- 
setzten (alten) Produkten unterscheiden. 

Für den Datenschutz sehe ich beim Einsatz von offener und 
freier Software einige Vorteile gegenüber proprietären Pro- 
dukten; z. B. gibt es keinen „Zwang“ zur Personalisierung 
von Softwareprodukten. Die T ransparenz der Software ist 
durch die Quellcodeof fenheit immer gegeben. Auch Pro- 
bleme durch Marktveränderungen haben keine Auswirkun- 
gen mehr auf die Softwarelinie des BfD. Es ist damit eine 
gezielte Unterstützung bei der W eiterentwicklung des Da- 
tenschutzes zum erstenmal überhaupt möglich (z. B. Daten- 
vermeidung, Datensparsamkeit, prüfbare Sicherheit bei Ver- 
fahren zur Pseudonymisierung, Authentisierung usw.). 

33.9 Fortentwicklung der elektronischen 
Aktenführung 

ln meinem 18. TB (Nr. 33.4. 1 ) habe ich von der Einführung 
der elektronischen Akte in meiner Dienststelle berichtet. 
Nach entsprechenden Vorbereitungsarbeiten im Laufe des 
Jahres 2000 konnte 2001 die fl ächendeckende Einführung 
begonnen und bis Ende des Jahres zügig abgeschlossen wer- 
den. Mit der Zielvor gäbe, ein vollständig nach dem 
DOMEA-Konzept ausgerichtetes Verfahren in zwei Phasen 
zu implementieren, sollten die bei der Einführung eines Do- 
kumentenmanagementsystems zu erwartenden Auswirkun- 
gen auf bisher gewohnte Arbeitsweisen zu keiner Beein- 
trächtigung der Arbeitsfähigkeit des Hauses führen, was im 
wesentlichen auch gelungen ist. Die im Vorfeld der Einfüh- 
rung von mir getroffene Entscheidung, das System entspre- 
chend dem DOMEA-Stufenkonzept zunächst lediglich zum 
Aufbau eines elektronischen Aktenarchivs zu nutzen, hat 
sich rückblickend als richtig erwiesen und trug zu einer ak- 
zeptanzfordemden Arbeitsweise bei. Diese Vorgehens weise 
bietet den Vorteil, dass für alle Arbeitsbereiche vorerst wei- 
terhin die gewohnte papier gebundene Bearbeitung erhalten 
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Abbildung 8 (zu Nr. 33.8) 


BfD-Netz mit 107 IT-Arbeitsplätzen 



Open-souree-server (Linux) IT-Konfiguration Stand Jan. 2003 
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bleibt; daneben wird aber durch den Aufbau der elektro- 
nischen Aktenablage die Möglichkeit geschaffen, von allen 
Arbeitsplätzen des Hauses aus auf alle aktenrelevanten 
Dokumente zuzugreifen. Die erhof ften Zugewinne, wie 
verbesserte Informationsgewinnung durch den Bearbeiter 
unter gleichzeitiger Entlastung der Registratoren bei der In- 
formationsbeschaffung und -a ufbereitung, konnten erzielt 
werden. 

Zugleich wurde der Personalrat zur W ahrang der berechtig- 
ten Interessen meiner Mitarbeiter und Mitarbeiterinnen 
frühzeitig in das V orhaben einbezogen. Die datenschutz- 
rechtliche Bedeutung des automatisierten V organgsbearbei- 
tungssystems besteht darin, dass die elektronische Akte 
jeden Beitrag eines Bearbeiters ausweist und dies nach bei- 
nahe jedem beliebigen Kriterium auswertbar ist. Die elek- 
tronische Akte wäre deshalb für eine weitgehend lückenlose 
Leistungskontrolle geeignet, die weit über das hinausginge, 
was rechtlich und auch unter dem Aspekt moderner Perso- 
nalführung akzeptabel wäre. Ein solches System kann nur 
mit Zustimmung des Personal- bzw . Betriebsrates einge- 
führt werden. Es wurden Vereinbarungen getroffen, wie mit 
diesen Daten und mit den Daten aus eventuellen Protokol- 
lierungen einzelner Arbeitsschritte umzugehen ist. Die im 
Vorfeld geäußerten Bedenken konnten hierdurch restlos aus- 
geräumt werden. Nach den bisherigen Erfahrungen gab und 
gibt es bei den Beschäftigten keine V eranlassung zu Miss- 
trauen. 

Über den Fortgang des Projekts werde ich auch künftig be- 
richten. 

34 Am Schluss noch einiges Wichtige aus 
zurückliegenden Tätigkeitsberichten 

1. Über die Problematik ausländerrechtlicher Vermerke 
in ausländischen Pässen mithilfe von Kontrollstem- 
peln habe ich in meinem 18. TB (Nr. 5.1.3) berichtet, ln 
diesem Zusammenhang hatte ich angeregt, für die V er- 
merke „Ausgewiesen“ und „Abgeschoben“ im Auslän- 
dergesetz selbst eine Rechtsgrundlage zu schaf fen. 
Dem ist das BMI nicht gefolgt. Es hatte lediglich in 
dem Entwurf einer V erordnung zur Durchführung des 
Zuwanderungsgesetzes in § 56 Nr. 8 eine Reglung vor- 
gesehen, nach dem der Ausländer verpflichtet ist, „sei- 
nen Pass oder Passersatz zur Anbringung von V ermer- 
ken über Ort und Zeit der Ein- und Ausreise, des 
Antreffens im Bundesgebiet sowie über Maßnahmen 
und Entscheidungen nach dem Aufenthaltsgesetz in sei- 
nem Pass oder Passersatz durch die Ausländerbehörden 
oder die Polizeivollzugsbehörden des Bundes oder der 
Länder sowie die sonstigen mit der polizeilichen Kon- 
trolle des grenzüberschreitenden Verkehrs beauftragten 
Behörden auf Verlangen vorzulegen“. Offen geblieben 
ist bislang noch das Ergebnis der vom BMI im Zusam- 
menwirken mit dem AA zugesagten Prüfung der Frage, 
ob die deutsche V orgehensweise den internationalen 
Gepflogenheiten entspricht. Nachdem das Bundesver- 
fassungsgericht das Zuwanderungsgesetz für nichtig er- 
klärt hat, werde ich in den anstehenden Erörterungen 
für ein neues Zuwanderungsgesetz versuchen nunmehr 
eine gesetzliche Regelung für das Problem „Kontroll- 
stempel“ zu erreichen. Ich werde über das Er gebnis 
meiner Bemühungen erneut berichten. 


2. Im November 1999 hatte sich die Ständige Konferenz 
der Innenminister und -Senatoren der Länder (IMK) für 
einen Pilotversuch auf der Basis der „ Machbarkeits- 
studie zum Einsatz einer Smart-Card im Asylver- 
fahren“ ausgesprochen (s. 18. TB Nr . 34.1). Dabei 
nahm das BMI als Rahmenbedingung an, dass bei V er- 
zieht auf die Schaf fung einer gesetzlichen Grundlage 
eine Karte nur auf freiwilliger Basis durch Einverständ- 
niserklärung des Asylbewerbers ausgegeben werden 
könne. Wie mich das BMI inzwischen informiert hat, 
habe sich aber nach Erörterungen mit den Ländern ge- 
zeigt, dass der Pilotversuch aus fachlichen Gründen so 
nicht umgesetzt werden konnte. Es habe daher im Mai 
2000 eine geänderte Konzeption mit einem von der 
Bundesdruckerei entworfenen Muster der Asylcard zur 
Diskussion gestellt. Zu einem erneuten IMK-Beschluss 
ist es nicht gekommen. Das T errorismusbekämpfüngs- 
gesetz (Aufenthaltsgestattung und Duldung dokumen- 
tiert durch einen selbstst ändigen fälschungssicheren 
Ausweis) und das Zuwanderungsgesetz (Speicherung 
der Nummern von Aufenthaltgestattungen im Auslän- 
derzentralregister bzw. der Visadatei im Ausländerzen- 
tralregister) beschreiten inzwischen andere W ege. Die 
Asylcard ist aber nach Auskunft des BMI weiterhin Ge- 
genstand von Diskussionen im Zusammenhang mit 
dem Einsatz biometrischer Daten. Ich werde die weitere 
Entwicklung sorgsam beobachten und sodann erneut 
berichten. 

3. Über die datenschutzrechtlichen Probleme beim Ein- 
satz ausländischen Liaisonpersonals im Bundesamt 
für die Anerkennung ausländischer Flüchtlinge 
(BAF1) habe ich zuletzt in meinem 18. TB (Nr . 34.3) 
berichtet. Inzwischen hat mich das BMI darüber infor- 
miert, dass es derzeit, bedingt durch eine Schwerpunkt- 
verlagerung bei der Tätigkeit des ausländischen Liai- 
sonpersonals, kein zwingendes Erfordernis mehr sieht, 
an der beabsichtigten Doppelfünktion dieses Personen- 
kreises festzuhalten. Das BMI hat daher das BAF1 ge- 
beten, von der seinerzeit beabsichtigten Doppelfünktion 
beim Einsatz des ausländischen Liaisonpersonals Ab- 
stand zu nehmen. Ich betrach te die Angelegenheit da- 
mit als erledigt. 

4. Nachdem die zuständigen europäischen Gremien, wie 
ich in meinem 18. TB (Nr. 5.2.1) berichtet habe, gegen 
einen Zugriff des Bundes amtes für die Anerkennung 
ausländischer Flüchtlinge (BAFl) auf das Schengener 
Informationssystem (SIS) keine Bedenken erhoben 
hatten, hat das BAFl seit Juli 2000 versuchsweise ei- 
nen lesenden Direktzugrif f im Dialogverfahren auf 
den beim Bundesverwaltungsamt geführten Daten- 
bestand nach Artikel 96 SDÜ erhalten. Die Dauer des 
Probebetriebs war auf neun Monate beschränkt und 
endete am 31. März 2001. ln seinem Abschlussbericht 
über die Erfahrungen des Probebetriebs hat mir das 
BMI mitgeteilt, dass der Direktzugrif f auf das SIS in 
vielen Fällen ein wichtiges Hilfsmittel für die Feststel- 
lung der Zuständigkeit eines anderen Mitgliedstaates 
war. So hat das BAFl in 88 % der erzielten Treffer ein 
Übernahmeersuchen an den jeweiligen Mitgliedsstaat 
gestellt. Aufgrund der erzielten T reffer hat sich das 
BMI für eine Fortführung des Direktzugriffs des BAFl 
auf den Datenbestand des Artikel 96 des Schengener 



Drucksache 15/888 


- 166 — 


Deutscher Bundestag - 15. Wahlperiode 


Durchführungsübereinkommens ausgesprochen. Auch 
ich habe gegen die Fortsetzung des V erfahrens über 
die am 31. März 2001 ausgelaufene Probephase hinaus 
keine Einwendungen erhoben. Ich gehe dabei jedoch 
davon aus, dass der Zugrif f auf das SIS nur bis zu der 
Aufnahme des W irkbetriebs des Systems Eurodac 
(s. u. 7.1.1 ) erforderlich ist. 

5. ln meinem 18. TB (Nr . 5.1.4) habe ich über Anfragen 
stellvertretender Behörden an das Ausländerzentral- 
register berichtet. Ich habe mich, um den Belangen der 
Praxis gerecht zu werden, seinerzeit bereit erklärt, meine 
Bedenken gegen diese Verfahrensweise zurückzustellen, 
wenn zwischen Bund und Ländern entsprechende Ver- 
einbarungen über die Behandlung dieser Stellvertreter- 
anfragen getroffen werden. Das BMI hat mir inzwi- 
schen einen mit der Registerbehörde abgestimmten 
Vorschlag zugeleitet, dem ich zugestimmt habe. Er sieht 
vor, dass Vertreterabfragen bei Dienststellen innerhalb 
der gleichen Behördengruppe künftig nur dann hin- 
zunehmen sind, wenn die anfragende Stelle durch 
Auswertung der Protokolldatei der Registerbehörde er- 
kennbar ist. Um dies sicherzustellen, wird eine entspre- 
chende Vereinbarung mit den Innenministem/-senato- 
ren der Länder angestrebt, die bei Redaktionsschluss 
noch nicht vorlag. Ich werde erneut berichten. 

6. Aufgrund einer mir von der Präsidentin des Europäi- 
schen Parlaments im Jahre 1999 übermittelten Petition 
habe ich die Frage geprüft, ob die generelle Speiche- 
rung von Daten von Staatsangehörigen eines Mit- 
gliedstaates der EU, die ihr en Wohnsitz in der 
Bundesrepublik Deutschland haben, im Ausländer- 
zentralregister (AZR) gegen die europäische Daten- 
schutzrichtlinie verstößt. 1c h bin zu dem Schluss ge- 
langt, dass eine solche Speicherung lediglich im 
Einzelfall erforderlich sein kann, dass aber eine syste- 
matische Erfassung aller in Deutschland wohnenden 
Staatsangehörigen aus EU- Staaten nicht gerechtfertigt 
ist. Das BMI hat seinerzeit mitgeteilt, es prüfe, ob eine 
entsprechende Änderung des AZR-Gesetzes in das Zu- 
wanderungsgesetz aufgenommen werden soll. Dazu ist 
es nicht gekommen. Ich bin der Ansicht, dass diese 
Problematik in der laufende n Legislaturperiode erneut 
diskutiert werden muss. 

7. Die in der Wendezeit unter nicht geklärten Umständen 
in den Besitz der USA geratenen so genannten Rosen- 
holz-Unterlagen mit Angaben über die W estagenten 
des Ministeriums für Staatssicherheit (s. 18. TB 

Nr. 5.8.2) sind im Berichtszeitraum von den USA als 
duplizierte CD-ROM der Bundesbeauftragten für die 
Unterlagen des Staatssicherheitsdienstes weitgehend 
übergeben worden. Diese hat mir mitgeteilt, dass sie bis- 
her 307 CD-ROM erhalten hat und noch 65 CD-ROM 
erwartet. Die von einigen Medien erwartete spektaku- 
läre Enttarnung weiterer West-Agenten der Stasi ist bis- 
her nicht eingetreten. Dies wohl auch deshalb, weil die 
Strafverfolgungsorgane im Rahmen der Rechtshilfe 
auch schon vorher Zugriffsmöglichkeiten auf diese Un- 
terlagen hatten. 

8. ln meinem 18. TB (Nr . 6.8) habe ich ausführlich über 
die seinerzeit rege geführte öffentliche Diskussion zum 
Thema „Elektronische Fußfessel“ berichtet. Dabei 


habe ich auf einen Gesetzesentwurf des Bundesrates 
(Bundestagsdrucksache 14/1519) hingewiesen, der vor- 
sah, den Ländern durch eine Änderung des Strafvoll- 
zugsgesetzes befristet die Möglichkeit einzuräumen, 
Regelungen über die Einführung und Ausgestaltung ei- 
nes elektronisch überwachten Hausarrestes zu schaffen. 
Hierzu habe ich die Auf fassung vertreten, dass aus da- 
tenschutzrechtlicher Sicht keine grundsätzlichen Be- 
denken gegen die probeweise Einführung dieses Instru- 
mentes bestünden, vielmehr die konkrete Ausgestaltung 
des Verfahrens entscheidend sei. Da der Entwurf im 
Parlament nicht weiter beraten wurde, war eine ver- 
tiefte Befassung mit diesem Thema für mich bisher 
nicht erforderlich. Ob es in diesem Bereich eine neue 
Gesetzesinitiative geben wird, bleibt abzuwarten. Ich 
werde mich in diesem Fall - wie bereits im 18. TB an- 
gekündigt - für eine die Persönlichkeitsrechte aller Be- 
troffenen wahrende Regelung einsetzen und weiter über 
die Angelegenheit berichten. 

9. Über die Praxis der Datenerhebung und Recherche im 
Zusammenhang mit der Verleihung des V erdienst- 
ordens der Bundesrepublik Deutschland habe ich zu- 
letzt in meinem 18. TB (Nr . 34, dort Nr . 5) berichtet. 
Um eine Datenbeschaffung auf Vorrat durch die paral- 
lele Prüfung von „V erdiensten“ und „Würdigkeit“ zu 
unterbinden, habe ich dem BMI geraten, in Absprache 
mit dem Bundespräsidialamt und den Ländern eine ab- 
gestimmte und verbindliche Verfahrensregelung zu 
dem von mir vor geschlagenen so genannten Zwei-Stu- 
fen Modell zu treffen. Danach werden zunächst die Ver- 
dienste des Auszuzeichnenden abschließend geprüft 
und erst bei einem positiven Er gebnis (die Verdienste 
reichen für eine Auszeichnung aus ) die Ordenswürdig- 
keit. Dieses Modell wurde zwischenzeitlich von allen 
Ländern, mit Ausnahme von Sachsen und Thüringen, 
erprobt, wobei die Länder, die dem Bundespräsidenten 
die meisten Ordensvorschläge unterbreiten, ihre Prü- 
fungen ohnehin schon vorher entsprechend dem so ge- 
nannten Zwei-Stufen-Modell durchgeführt haben. Nach 
den bisherigen Erfahrungen der Länder hat sich dieses 
Modell bewährt und soll nunmehr auf Dauer umgesetzt 
werden. Die Länder Sachsen und Thüringen haben zu- 
gesagt, ihr Verfahren aufgrund der positiven Erfahrun- 
gen der anderen Länder nochmals zu überprüfen. 

Ich werde die Entwicklung weiterverfolgen. Ob auch 
vor dem Hintergrund der zweiten Stufe der Novellie- 
rung des Datenschutzrechts eine bereichsspezifische 
Regelung für das Ordensrecht erforderlich ist, wird zu 
gegebener Zeit zu entscheiden sein. 

10. ln meinem 18. TB (Nr .34, dort Nr. 6) habe ich ausge- 
führt, dass sich der Erlass der Steuerdaten-Abruf- Ver- 
ordnung (StDAV) nach Mitteilung des BMF weiterhin 
verzögert, da aufgrund eingegangener Stellungnahmen 
der Länder und Gemeinden eine Überarbeitung des 
Entwurfs erforderlich sei. Nach Auswertung der Stel- 
lungnahmen der Länder, Gemeinden, Verbände und an- 
derer beteiligter Behörden wurden mir neue Entwürfe 
der StDAV zugesandt, die die wesentlichen daten- 
schutzrechtlichen Aspekte berücksichtigen. Nach dem 
derzeitigen Sachstand gehe ich davon aus, dass die 
StDAV im Laufe des Jahres 2003 in Kraft treten wird. 
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11. Im 18. TB (Nr. 20. T) habe ich darüber berichtet, dass 
die Musterprüfungsverfügung, auf der die Prüfungs- 
verfügungen der Arbeits- und Hauptzollämter beruhen, 
falls diese Außenprüfungen zur Aufdeckung von Leis- 
tungsmissbrauch - ausnahmsweise — ankündigen, den 
rechtstaatlichen Erfordernissen nicht entsprach. Insbe- 
sondere muss aus der Prüfüngsverfügung für den Ar- 
beitgeber erkennbar sein, welche Daten über seine Ar- 
beitnehmer er an die prüfende Behörde übermitteln 
muss. Inzwischen konnte nach einem konstruktiven 
Dialog zwischen dem BMF, der Bundesanstalt für Ar- 
beit und mir eine Musterprüfüngsverfügung erarbeitet 
werden, die rechtstaatlichen Ansprüchen an die Be- 
stimmtheit von Verwaltungsakten genügt. 

12. Über die Notwendigkeit einer gesetzlichen Grundlage 
für die Aufbewahrung von Akten und die Speiche- 
rung personenbezogener Daten in Dateien der Justiz 

habe ich in den zurückliegenden Tätigkeitsberichten 
(18. TB Nr. 6, 17. TB Nr. 34, dort Nr. 7, und 16. TB Nr. 
6.14) mehrfach berichtet und auf die Entschließungen 
der Konferenz der Datenschutzbeauftragten des Bundes 
und der Länder vom Frühjahr 1995 (16. TB Anlage 6) 
und vom Herbst 1999 (18. TB Anlage 16) hingewiesen, 
ln der Zwischenzeit hat zwar eine Arbeitsgruppe der 
Konferenz der Justizministerinnen und -minister (Jus- 
tizministerkonferenz) ebenfalls die Notwendigkeit be- 
jaht, eine gesetzliche Regelung zu schaf fen, sodass die 
72. Justizministerkonferenz im Juni 2001 eine länderof- 
fene Arbeitsgruppe beauftragt hat, einen Entwurf für 
ein Aufbewahrungsgesetz zu erarbeiten. Da zwischen 
den Justizministem des Bundes und der Länder aber 
Uneinigkeit über die Federführung besteht, hat diese 
Arbeitsgruppe ihre Arbeit bis heute noch nicht aufge- 
nommen. 

13. ln meinem 18. TB (Nr. 34, dort Nr. 7) habe ich berich- 
tet, dass hinsichtlich der Umsetzung der V erordnung 
(EG) Nr. 1469/95 des Rates vom 22. Juni 1995 über 
Vorkehrungen gegenüber bestimmten Begünstigten der 
vom Europäischen Ausrichtungs- und Garantiefond für 
die Landwirtschaft, Abteilung Garantie, finanzierten 
Maßnahmen, der so genannten „ Schwarze-Liste-Ver- 
ordnung“, noch keine Einigung mit dem BMF in der 
Frage erzielt werden konnte, ob ein direkter Zugriff auf 
die Daten von Marktbeteiligten erforderlich ist, solange 
bei ihnen festgestellte Unregelmäßigkeiten nicht den 
Schwellenwert von 100 000 Euro überschritten haben. 
Insoweit konnte nunmehr eine abschließende Klärung 
erreicht werden. Aus Artikel 2 Abs. 1 der VO (EG) 

Nr. 745/96 der Kommission vom 24. April 1996 zur 
Durchführung der Verordnung Nr. 1469/95 i. V. m. Ar- 
tikel 8 Abs. 1 der VO (EWG) Nr . 729/70 des Rates 
vom 21. April 1970 über die Finanzierung der gemein- 
samen Agrarpolitik er gibt sich die V erpflichtung der 
Mitgliedsstaaten, Unregelmäßigkeiten vorzubeugen und 
zu verfolgen. Der zuständige Bearbeiter benötigt be- 
reits vor Überschreiten des Schwellenwertes einen 
Überblick über den Sachstand, da ansonsten keine 
Möglichkeit gegeben ist, ev entuellen Betrugspraktiken 
nachzugehen und finanziellen Schaden vom Gemein- 
schaftshaushalt abzuwenden. Rechtsgrundlage für die 
Aufnahme von Daten über V erdachtsfälle bilden Arti- 
kel 1 Abs. 1 der VO Nr . 1469/95 und Artikel 1 Abs. 2 


der VO Nr. 745/96. Meine datenschutzrechtlichen Be- 
denken konnten somit ausgeräumt werden. 

14. Über das Scoring-Verfahren der SCHUFA habe ich 
zuletzt in meinem 18. TB (Nr. 31.1.1, 31.1.2) berichtet 
und die bestehenden Probleme dargesteht. 

Ein Datenschutzproblem bei der Score-W ert Berech- 
nung der SCHUFA konnte im Berichtszeitraum gelöst 
werden - die Einbeziehung der Selbstauskunft in den 
Score-Wert. Ein neues V erfahren, das die Selbstaus- 
kunft bei der Score-Berechnung nicht mehr berücksich- 
tigt, steht den V ertragspartnem der SCHUFA seit De- 
zember 2001 zur V erfügung. Da - laut SCHUF A —bei 
vielen Vertragspartnern die Umstellung des hausinter- 
nen Verfahrens längere Zeit in Anspruch genommen 
hat, war zunächst noch eine Anpassungsphase notwen- 
dig. Mit Schreiben vom 4. September 2002 hat die 
SCHUFA die Datenschutzaufsichtsbehörden darüber 
informiert, dass die Selbst auskunft bei der Score-Be- 
rechnung ausnahmslos nicht mehr berücksichtigt 
würde. 

Hinsichtlich der Transparenz des Score-Wertes konnte 
seitens der Datenschutzaufsichtsbehörden leider noch 
immer kein befriedigendes Ergebnis erzielt werden. Die 
SCHUFA erklärt sich zwar mittlerweile bereit, den Be- 
troffenen einen aktuellen Score-W ert mitzuteilen, ist 
aber noch immer nicht bereit , den an die V ertragspart- 
ner übermittelten Score-W ert bekannt zu geben. Nur 
letzterer Wert würde allerdings Transparenz für den Be- 
troffenen bringen, da der Score-W ert kein statischer 
Wert ist, vielmehr sich fortlaufend ändern kann. Die 
SCHUFA begründet ihr Verhalten damit, dass sie selber 
den Wert nicht speichere und eine entsprechende Ände- 
rung der genutzten Software mit dem Ziel, den Score- 
Wert zu speichern, mit eine m wirtschaftlich vertretba- 
ren Aufwand nicht möglich sei. Frühestens Ende 2003/ 
Anfang 2004 würde es eine neue Software-Generation 
erlauben, den übermittelten Score-W ert zu speichern 
und den Betroffenen mitzuteilen. Einer noch weiter ge- 
henden Forderung der Aufsichtsbehörden, den Betrof- 
fenen nicht nur den Score-Wert selbst, sondern auch die 
Parameter und deren Gewichtung bekannt zu geben, 
wird seitens der SCHUF A nach wie vor mit der Be- 
gründung der W ahrung des Geschäftgeheimnisses ab- 
gelehnt. 

Aus Anlass meines 18. Tätigkeitsberichtes hat der 
Deutsche Bundestag die Bundesregierung aufgefordert, 
eine gesetzliche V erpflichtung aller Auskunfteien zur 
Mitteilung der von ihnen erstellten Score- Werte, der zu- 
grunde liegenden Parameter und ihrer Gewichtung an 
die jeweils Betroffenen zu prüfen. Ich hoffe, dass die 
Bundesregierung diesem Prüfauftrag alsbald nach- 
kommt, damit der inakzeptable Zustand, dass dem Be- 
troffenen selbst verschlossen bleibt, was bei Kredit- 
instituten etc. zur Entscheidungsgrundlage für eine 
kreditorische Leistung an ihn gemacht wird, bald ein 
Ende findet. 

15. In meinem 18. TB (Nr. 31.5) habe ich ausführlich über 
das Konzept des Deutschen Pressera tes berichtet, im 
Rahmen des § 41 Abs. 1 BDSG durch Selbstregulierung 
und Selbstkontrolle einen wirksamen Datenschutz bei 
der redaktionellen Datenverarbeitung sicherzustellen. 
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Dieses Konzept ist im Berichtszeitraum weiter umge- 
setzt worden. Im November 2001 wurde der neue Pres- 
sekodex, der um eine Reihe von datenschutzrechtlichen 
Regelungen erweitert worden war , offiziell dem Bun- 
despräsidenten überreicht und der Öffentlichkeit vorge- 
stellt; der gesonderte Beschwerdeausschuss des Deut- 
schen Presserates für Fragen des redaktionellen 
Datenschutzes hat im März 2002 seine Arbeit aufge- 
nommen und schon eine Reihe von Fällen zu behandeln 
gehabt. Eine Vielzahl von Presseverlagen hat inzwischen 
die erforderlichen Selbstverpflichtungserklärungen abge- 
geben. Der Deutsche Presserat wird entsprechend seinen 
Statuten regelmäßig alle zw ei Jahre einen Tätigkeits- 
bericht zum Redaktionsdatenschutz veröffentlichen, 
der auch eine Darstellung der wesentlichen Entwick- 
lung des Redaktionsdatenschutzes in der Presse enthal- 
ten soll. 

ln mehreren Gesprächen habe ich mich davon überzeu- 
gen können, dass es dem Deutschen Presserat mit der 
Sicherstellung eines wirksamen Redaktionsdatenschut- 
zes ernst ist. 

Die weitere Entwicklung werde ich aufmerksam verfol- 
gen. 

16. ln meinem 18. TB (Nr. 31.8) habe ich über die Absicht 
der Bundesregierung berichtet, den Rechtsrahmen für 
das private Sicherheitsgewerbe neu zu regeln und in 
diesem Zusammenhang auch den datenschutzrecht- 
lichen Aspekten der Tätigkeit Rechnung zu tragen. Das 
Gesetz zur Änderung des Bewachungsgewerberechts 
vom 23. Juli 2002 (BGBl. 1 S. 2724) sieht nunmehr in 

§ 8 Bewachungsverordnung vor, dass die V orschriften 
des ersten und dritten Abschnitts des BDSG auch An- 
wendung finden, wenn der Gewerbetreibende in Aus- 
übung seines Gewerbes Daten über Dritte verarbeitet, 
nutzt oder dafür erhebt und dies weder unter Einsatz 
von Datenverarbeitungsanlagen noch in oder aus nicht 
automatisierten Dateien erfolgt. Die Regelung geht auf 
eine Anregung von mir im Gesetzgebungsverfahren zu- 
rück. Sie führt dazu, dass nunmehr auch der dritte Ab- 
schnitt des BDSG für das private Sicherheitsgewerbe 
gilt, sofern personenbezogene Datenverarbeitung in 
nichtstrukturierten Akten und Aktensammlungen statt- 
findet. Ich halte die uneingeschränkte Anwendung die- 
ser Vorschriften für geboten, weil personenbezogene 
Daten Dritter durch Unternehmen des privaten Sicher- 
heitsgewerbes nach meiner Kenntnis häufig in Akten 
verarbeitet und genutzt werden. Gleichzeitig geraten im 
Rahmen der Tätigkeit privater Sicherheitsdienste nicht 
nur bescholtene, sondern auch unbeteiligte Bür ger in 
größerem Umfang in deren V isier, als dies im Zusam- 
menhang mit der Tätigkeit anderer nicht öf fentlicher 
Stellen der Fall ist. Die Re gelung trägt auch dem Um- 
stand Rechnung, dass zunehmend das private Sicher- 
heitsgewerbe mit den Polizeibehörden der Länder im 
Rahmen von so genannten Sicherheitspartnerschaften 
zusammenarbeitet und sich hieraus auch neue daten- 
schutzrechtliche Anforderungen ergeben. 

17. Auch die Regulierungsbehörde für Telekommunika- 
tion und Post (RegTP) hat die Aufgabe, die Einhaltung 
der datenschutzrechtlichen Vorschriften des Telekommu- 
nikationsgesetzes sicherzustellen (s. 17. TB Nr . 10.1.7). 


Wie bereits früher berichtet, ist es deshalb notwendig, 
eng mit der RegTP zusammenzuarbeiten (s. 18. TB 
Nr. 10.15). 

Die Zusammenarbeit wurde au ch in den ver gangenen 
zwei Jahren weitergeführt und erfolgt u. a. im Rahmen 
eines regelmäßig stattfindenden Jour Fixe. Dadurch 
wird erreicht, dass die Auslegung der einschlägigen 
Vorschriften und die sich daraus er gebenden daten- 
schutzrechtlichen Forderungen an die Telekommunika- 
tionsuntemehmen übereinstimmend erfolgt. Auch im 
Rahmen der Bearbeitung von Bür gereingaben kann es 
notwendig sein, sich über Einzelfälle auszutauschen. 

Im Berichtszeitraum bestand für einen Mitarbeiter mei- 
nes Hauses die Möglichkeit einer informellen Beteili- 
gung an einer Kontrolle der Regulierungsbehörde. 

18. In meinem 18. TB (Nr. 24. 1 . T) habe ich über die Ent- 
würfe eines Pflege-Qualitätssicherungsgesetzes und 
eines Dritten Gesetzes zur Änderung des Heimgeset- 
zes berichtet, ln den parlamentarischen Beratungen 
sind die von mir bei der V orbereitung beider Gesetz- 
entwürfe gegebenen Hinweise zum Datenschutz so- 
wie weitere V orschläge während dieser Beratungen 
aufgegriffen worden. Beide Gesetze sind am 1. Januar 
2002 (BGBl. 1 2001 S. 2320; BGBl. 1 2001 S. 2960) 
in Kraft getreten. 

19. ln meinem 18. TB (Nr. 29.2) habe ich angekündigt, die 
seit der Liberalisierung des Postmarktes zum 1. Januar 
1998 gegründeten neuen Postdienstunternehmen wei- 
ter intensiv zu kontrollieren und zu beraten, um auf die 
Einhaltung des Datenschutzes hinzuwirken. Die Zahl 
der Unternehmen ist in den letzten beiden Jahren weiter 
gewachsen, wobei jedoch immer wieder Unternehmen 
mangels Konkurrenzfähigkeit ihre Tätigkeit vollständig 
einstellen mussten. Meine Kontrollen haben ein insge- 
samt sehr erfreuliches Ergebnis erbracht, ln keinem Fall 
wurde der Datenschutz grob missachtet. Lediglich ge- 
ringere Verstöße (wie z. B. fehlerhafte Benachrichti- 
gungen bei Nichtantreffen eines Empfängers, nicht hin- 
reichende Aufklärung innerhalb der Unternehmen bzw. 
bei Subuntemehmen zum Thema Daten- und Postge- 
heimnis) waren zu bemängeln. Sie wurden jeweils nach 
meinen Besuchen bei den Unternehmen abgestellt. Die 
Unternehmen haben meine Anregungen und Hinweise 
dankbar zur Kenntnis genommen. Der Datenschutz bei 
den neuen Unternehmen am Postmarkt erreicht damit 
ein erfreulich hohes Niveau, wozu sicher auch die T at- 
sache beiträgt, dass viele der Unternehmen V erbänden 
angeschlossen sind, die Infonnationen auch zum Daten- 
schutz an ihre Mitglieder weiter geben. Ich werde auch 
weiterhin intensiv Kontrollen und Beratungen neuer 
Postdienstuntemehmen durchführen, um dem Daten- 
schutzaspekt von vornherein die notwendige Geltung 
zu verschaffen. 

20. In meinem 18. TB (Nr . 16.4) habe ich mich, nicht zu- 
letzt vor dem Hintergrund mangelnder Transparenz, be- 
sorgt über das Abhörsystem ECHELON geäußert und 
die Initiative des Europäisch en Parlaments (EP), einen 
nichtständigen Ausschuss einzusetzen, begrüßt. Dabei 
kam es vor allem auf eine Überprüfung des in der Öf- 
fentlichkeit erweckten Ei ndrucks an, mit ECHELON 
werde in elementare Bür gerrechte eingegriffen. Der 
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Ausschuss hat unter dem 1 1 . Juni 2001 seinen umfang- 
reichen Bericht abgegeben. Das EP hat dazu in seiner 
Sitzung am 5. September 2001 eine Entschließung ge- 
fasst (ABI. C 72 E/221 vom 21. März 2002). Danach 
steht die Frage der Existenz von ECHELON nicht mehr 
in Zweifel. Ob tatsächlich Wirtschaftsspionage mit dem 
System betrieben wird, konnte durch den Ausschuss 
nicht nachgewiesen werden. Die Gerüchte hierzu sind 
allerdings nicht verstummt, die Bedenken nach wie vor 
nicht ausgeräumt. Denn eine wirklich objektive Be- 
standsaufnahme des Systems, wie ich sie in meinem 
18. TB gefordert hatte, konnte nicht durchgeführt wer- 
den. Dies wäre möglichem eise anders gewesen, wenn 
nicht die USA die Unterstützung durch Abweisung der 
untersuchenden Parlamentarier in W ashington boykot- 
tiert hätten. 

Ich begrüße vor allem, dass das EP die Datenschutzpro- 
bleme in Verbindung mit ECHELON deutlich angespro- 
chen hat. Besonders bedenklich ist, dass ECHELON 
keinerlei rechtsstaatlichen Vorbehalten, wie sie z. B. in 
Deutschland das Artikel 10-Gesetz enthält, unterliegt. 
Eine Kontrolle findet ebenfalls nicht statt. V or dem 
Hintergrund, dass jedes Abhören von Kommunikation 
einen tief greifenden Eingrif f in die Privatsphäre des 
Einzelnen darstellt, stimme ich den Erwägungen in der 
o. a. Entschließung zu. V or allem ein gemeinsames 
Schutzniveau gegenüber nachrichtendienstlicher Tätig- 
keit in allen EU-Mitgliedsstaaten und die Schaffung der 
Voraussetzungen durch das EP für ein gemeinsames 
Kontrollorgan zur Überwachung und Kontrolle in die- 
sem hoch sensiblen Bereich sollten unterstützt werden. 
Zu begrüßen ist auch die Forderung an die Europäische 
Kommission, den Rat und die Mitgliedsstaaten, eine 
„wirksame und effektive Politik betreffend die Sicher- 
heit in der Informationsgesellschaft zu entwickeln und 
umzusetzen“; diese Politik soll auch die stärkere Sensi- 
bilisierung aller Nutzer moderner Kommunikationssys- 
teme für die Notwendigkeit und die Möglichkeit des 
Schutzes vertraulicher Informationen beinhalten, z. B. 
durch Schaffung benutzerfreundlicher Krypto-Software. 
Eine erste Maßnahme ist der Appell an die europäischen 
Institutionen sowie an die öf fentlichen Verwaltungen 
der Mitgliedsstaaten, Verschlüsselung von E-Mails sys- 
tematisch einzusetzen, um so langfristig die V erschlüs- 
selung zum Normalfall werden zu lassen. 

Der Innenausschuss des Deutschen Bundestages hat in 
seiner Sitzung am 5. Juni 2002 die Entschließung zur 
Kenntnis genommen. Ich werde mit Interesse die wei- 
tere Entwicklung verfolgen. 

21. Der Entwurf einer Entschließung des Rates über die 
operativen Anforderungen der Strafverfolgung in Bezug 
auf öffentliche Telekommunikationsnetze und -dienste, 
der in den vergangenen Jahren als ENFOPOL 55 auch 
zu datenschutzrechtlichen Bedenken Anlass gegeben 
hatte (s. 18. TB Nr. 16.3 und Anlg. 1 1), ist im Berichts- 
zeitraum beim Rat nicht weiter verfolgt worden. Im 
Vorgriff auf eine zu erwartende Entscheidung hat aller- 
dings die Bundesregierung ihre Haltung zu diesem Ent- 
wurf präzisiert. Dazu zählt, was von mir unterstützt 
wird, dass im Text nicht einseitig auf die Interessen der 
Bedarfsträger abgestellt wird, sondern auch das Grund- 
recht auf informationelle Selbstbestimmung angemes- 


sen berücksichtigt werden so 11. Es bleibt abzuwarten, 
ob das Projekt im Rat nochm als aufgegriffen wird und 
wie dann die revidierte deutsche Position, die daten- 
schutzrechtliche Verbesserungen enthält, durchgesetzt 
werden kann. 

22. In meinem 18. TB (Nr. 18.2) habe ich über den Entwurf 
des Gesetzes zur Neuordnung des Bundesdisziplinar- 
rechts (BDiszNOG) (BGBl. 1 2001 S. 1510) berichtet. 
Meine Anregung, die Löschungsvorschriften in § 90e 
Abs. 1 Nr. 2 BBG an die Neuregelung im BDiszNOG 
anzupassen, hat das BMI leider nicht aufgenommen. 

Ich werde diese Angelegenheit bei der Beratung des 
Entwurfs des nächsten Gesetzes zur Änderung beam- 
tenrechtlicher Vorschriften erneut aufgreifen. 

23. Das Pilotproj ekt für das Umzugskosten verfahren bei 
der Bundeswehr, über das ich in meinem 18. TB be- 
richtet habe, wurde zum 3 1 . Oktober 2000 beendet. Die 
mir vom BMVg im Berichtszeitraum angekündigte Fol- 
geregelung ist noch nicht erlassen worden. Bis zu dieser 
Regelung soll wie vor der Aufnahme des Pilotprojektes 
verfahren werden. Vom Umziehenden werden nur die 
nach dem Bundesumzugskostengesetz erforderlichen 
Daten erhoben. 

24. ln meinem 18. TB (Nr. 27) habe ich über meine daten- 
schutzrechtlichen Bedenken zum Entwurf des Bundes- 
ministeriums für Familie, Senioren, Frauen und Jugend 
(BMFSFJ) für eine Personalaktenverordnung für 
Zivildienstleistende (ZDPersAV) berichtet. Das 
BMFSFJ hat diesen Bedenken nunmehr Rechnung ge- 
tragen. Inzwischen wurde die ZDPersAV verabschiedet 
(BGBl. 2002 I S. 4025). Damit besteht ein weitgehend 
einheitliches Personalaktenrecht für Zivildienstleis- 
tende, Beamte, Soldaten undungediente Wehrpflichtige. 

25. Im Zusammenhang mit der Problematik der Vernich- 
tung von personenbezogenen Daten in Personen- und 
Sachakten des BfV (s. o. Nr. 17.2) habe ich auch die 
Frage der Sonderakten (s. 16. TB Nr. 14.5) erneut auf- 
gegriffen. Bis auf zwei Fälle, die als „zeitgeschichtlich 
bedeutsam“ eingestuft wurden, sind nach Auskunft des 
BMI inzwischen die übrigen Personenakten als nicht 
mehr erforderlich für die Tätigkeit des BfV vernichtet 
worden. 

26. Ich habe die Deutsche Post AG bereits in meinem 
18. TB (Nr. 29.6) auf die Bedeutung einer eigenen Da- 
tenschutzseite für ihren Intemetauftritt hingewiesen. 

Für den Nutzer wäre es eine willkommene Hilfe, wenn 
er bereits beim ersten „Betreten“ des Intemetangebotes 
der Deutschen Post AG auf umfassende Informationen 
zum Datenschutz hingewiesen würde. Eine gelungene 
Präsentation dieses Themas findet sich z. B. beim Inter- 
netmarktplatz eVITA, einem Geschäftsfeld der Deut- 
schen Post AG. 

Trotz mehrerer Erinnerungen sah sich die Deutsche 
Post AG bisher nicht in der Lage, meine Empfehlung 
umzusetzen. Bei Eingabe des Suchbegrif fs „Daten- 
schutz“ in der Homepage der Deutschen Post AG öffnet 
sich zwar eine Liste mit Links zu verschiedenen W eb- 
seiten, die das W ort beinhalten, allerdings finden sich 
nur unter dem Stichwort „In Haus Service“ tatsächlich 
einige wenige, allgemein gehaltene Informationen zu 
diesem Thema. Diese Infonnationen sind jedoch nicht 
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ausreichend. Bei „In Haus Service“ handelt es sich im 
Übrigen um einen Service der Deutschen Post AG für 
Unternehmen. Ausführungen zum Datenschutz im pri- 
vaten Bereich finden sich auf der W ebseite nicht. Ein 
weiterer Link verweist in einer allgemein gehaltenen 
Information auf die Absicht der Bundesregierung, das 
Datenschutzrecht zwecks Harmonisierung mit dem eu- 
ropäischen Recht zu novellieren. Der Kunde der Deut- 
schen Post AG erfährt darüber hinaus nichts Interessan- 
tes oder Hilfreiches zum Thema Datenschutz. Soweit 


mir bekannt ist, wurde inzwischen wenigstens mit vor- 
bereitenden Arbeiten zu einer umfassenden Lösung die- 
ses Problems für alle Gesc häftsfelder der Deutschen 
Post AG begonnen, sodass dieser Missstand hoffentlich 
bald beendet sein wird. 

Ich werde darauf achten, dass die Deutsche Post AG die 
erforderlichen Maßnahmen nunmehr schnellstmöglich 
umsetzt und hierbei der besonderen Stellung des Daten- 
schutzes durch einen direkten V erweis auf der ersten 
Seite der Homepage Rechnung trägt. 
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Hinweis für die Ausschüsse des Deutschen Bundestages 


Nachfolgend habe ich daigestellt, welche Beiträge dieses Berichtes für welchen 
Ausschuss von besonderem Interesse sein könnten: 


Ausschuss für Wahlordnung, Immu- 
nität und Geschäftsordnung 

Auswärtiger Ausschuss 

Innenausschuss 


Rechtsausschuss 

F inanzausschuss 

Ausschuss für Wirtschaft 
und Arbeit 

Ausschuss für Verbraucherschutz, 
Ernährung und Landwirtschaft 

Verteidigungsausschuss 

Ausschuss für Familie, Senioren, 
Frauen und Jugend 

Ausschuss für Gesundheit und 
Soziale Sicherung 

Ausschuss für Verkehr, Bau- und 
Wohnungswesen 

Ausschuss für Bildung, Forschung 
und Technikfolgenabschätzung 

Ausschuss für die Angelegenheiten 
der Europäischen Union 

Ausschuss für Kultur 
und Medien 


5 


3.2.4; 3.6 bis 3.10; 6; 8.5; 32 

1; 2; 3; 4; 7; 8.1 bis 8.9; 8.10.2; 10.5 bis 
10.5.3; 10.6 bis 10.9; 11.3; 13; 14; 16; 
17; 18; 19; 20; 21; 33.3; 33.6 bis 33.9; 
34.1 bis 34.7; 34.9; 34.14; 34.15; 34.20; 
34.21; 34.22; 34.25 

1; 2; 4.2; 7.6.1; 8.1 bis 8.9; 8.10.1; 8.11; 
10.7; 11.3; 11.4; 32; 34.8; 34.12 

4.3; 4.4; 9; 10.2; 10.4; 14.3; 15; 16.3; 
16.4; 34.10; 34.11; 34.13 

4.1; 10.1; 10.3; 10.5 bis 10.9; 11; 12; 
20.3.5; 21.1; 23; 34.11; 34.14; 34.16; 
34.17; 34.19; 34.26 

3.5; 4.2; 10.5.4; 10.5.5; 10.9; 11.2; 11.4 
bis 11.14 

18; 20.3.2; 30; 34.23 
31; 34.24 


4.3; 22; 24; 25; 26; 27; 28; 34.18 


29 


4; 11.2; 28.5 


3.2.4; 3.6 bis 3.10; 4.4; 8.9; 11.1; 16; 32; 
34.20; 34.21 

4.1; 4.4; 11.1; 11.2; 11.6; 34.15 
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Übersicht über die durchgeführten Kontrollen, Beratungen und Informationsbesuche 


Deutscher Bundestag 

- SPD-Fraktion des Deutschen Bundestages 

- Verwaltung des Deutschen Bundestages 

Bundeskanzleramt 

- Bundesnachrichtendienst 

Auswärtiges Amt 

- Auswärtiges Amt (Telekommunikationsanlage/Zentrale) 

- eine Ständige Vertretung 

- ein Generalkonsulat 

Bundesministerium des Innern 

- Bundesamt für die Anerkennung ausländischer Flücht- 
linge: 

Zentrale und drei Außenstellen 

- Bundesamt für Verfassungsschutz 

- Bundesbeauftragte für die Unterlagen des Staatssicher- 
heitsdienstes der ehemaligen DDR: 

Zentrale und zwei Außenstellen 

- Bundesgrenzschutz mit Grenzschutzdirektion, mehreren 
Grenzschutzämtem und der Zentralstelle für Information 
und Kommunikation 

- Bundeskriminalamt 

- Bundesverwaltungsamt 

- Geschäftsstelle des Bundespersonalausschusses 

- Bunde sakademie für öffentliche Verwaltung 

- Bundesbeauftragter für Asylangelegenheiten 

- Gemeinsames Zentrum der deutsch-französischen Poli- 
zei- und Zollzusammenarbeit in den Grenzgebieten 

- Statistisches Bundesamt 

- Competence Center IVBB, Berlin 

Bundesministerium der Justiz 

- Generalbundesanwalt beim Bundesgerichtshof: 
Dienststelle Bundeszentralregister 

- Bundesgerichtshof 

- Deutsches Patent- und Markenamt 
Zentrale und Außenstellen Berlin und Jena 

Bundesministerium der Finanzen 

- ein Hauptzollamt 

- ein Bundesvermögensamt 

- Zollkriminalamt 


- Bundesanstalt für Finanzdienstleistungsaufsicht 

- Zentrum für Informations- und Datentechnik der Bun- 
desfinanzverwaltung, Bonn und Frankfurt 

Bundesministerium für Wirtschaft und Arbeit 

- Hauptstelle der Bundesanstalt für Arbeit 

- zwei Arbeitsämter 

- Telekommunikationsanlage 

Bundesministerium der Verteidigung 

- zwei Wehrbereichsverwaltungen 

- Militärischer Abschirmdienst 

- Heeresführungskommando 

- Luftwaffenamt 

- Amt für Femmelde- und Infonnationssysteme der Bun- 
deswehr 

- ein Kreiswehrersatzamt 

Bundesministerium für Familie, Senioren, Frauen und 
Jugend 

- Bundesamt für den Zivildienst 

- eine Zivildienstgruppe 

- eine Zivildienststehe 

Bundesministerium für Gesundheit und Soziale 
Sicherung 

- Bundesversicherungsamt 

- Bundesarbeitsgemeinschaft für Rehabilitation 

- Gemeinsame Servicestellen (SGB IX) 

Bundesministerium für Verkehr, Bau- und 
Wohnungswesen 

- Luftfahrt-Bundesamt 

- Kraftfahrt-Bundesamt 

- Bundesamt für Güterverkehr 

- Bundesanstalt für Straßenwesen 

Bundesministerium für Umwelt, Naturschutz und 
Reaktorsicherheit 

- Telekommunikationsanlage 

Bundesministerium für wirtschaftliche 
Zusammenarbeit und Entwicklung 

- Telekommunikationsanlage 

- Dienststelle Bonn 
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Presse- und Informationsamt der Bundesregierung 

- Gesamtpersonalrat beim Presse- und Infonnationsamt 
der Bundesregierung, Berlin 

Deutsche Post AG 

- Zentrale 

- Niederlassung Wuppertal 

- Deutsche Post AG, Bonn, München, Frankfurt/Main 
Flughafen 

Neue Postdienstunternehmen 

- AiVOS Brief & Paket Post GmbH, Bamberg 

- ALPHA TRANS GmbH & Co. KG, Berlin 

- DPD Deutscher Paket Dienst GmbH & Co. KG, Aschaf- 
fenburg 

- Federal Express Europe Inc. Deutsche Niederlassung, 
Neu-Isenburg 

- General Logistics Systems Gennany vonnals German 
Parcel, Neuenstein 

- GO! General Ovemight, Frankfurt/Main 

- Messenger Transport Logistik GmbH, Berlin 

- Morgenpost Briefservice GmbH, Mannheim 

- OPC Berlin GmbH, Berlin 

- TNT Holdings (Deutschland) GmbH, Troisdorf 

- trans-o-flex Schnell-Lieferdienst GmbH, Weinheim 

Telekommunikationsunternehmen 

- 01051 Telecom GmbH 

- accom Gesellschaft für Telekommunikationsnetze und - 
dienstleistungen mbH & Co. KG 

- Arcor AG & Co. 

- BreisNet Telekommunikations- und Carrier-Dienste 
GmbH 

- Cellway Kommunikationsdienste GmbH 

- Deutsche Telekom AG 


- dtms AG 

- E-Plus Mobilfunk GmbH 

- Hutchison Telecom GmbH 

Bundesversicherungsanstalt für Angestellte 

- Hauptstelle 

- zwei Rehabilitationskliniken 

Berufsgenossenschaften und Krankenkassen 

- Hauptverband der gewerblichen Berufsgenossenschaften 

- Bau-Berufsgenossenschaft Frankfurt (Hauptverwaltung) 

- Berufsgenossenschaft für den Einzelhandel (Bezirks- 
stelle Bonn) 

- Berufsgenossenschaft für Gesundheitsdienst und W ohl- 
fahrtspflege (Hauptverwaltung und Bezirksverwaltung 
Berlin) 

- Berufsgenossenschaft der Feinmechanik und Elektro- 
technik 

(Bezirksverwaltung Köln) 

- Berufsgenossenschaft der chemischen Industrie (Be- 
zirksverwaltung Köln) 

- Rechenzentrum für das Projekt Phoenics 

- AOK-Bundesverband 

- Banner Ersatzkasse — Zentrale Wuppertal 

- Karstadt + Quelle BKK 

Sonstige 

- Otto von Bismarck-Stiftung 

- ein überregionales Corporate Network, Bayer AG 

- Wirtschaftsuntemehmen wegen V erfahren zur Sicher- 
heitsüberprüfüng 

- Stiftung „Erinnerung, Verantwortung und Zukunft“ 

- Projekt „Nachweisbeschaffüng für ehemalige NS-Zwangs- 
arbeiter/-innen“ 

- Bundesdruckerei GmbH, Berlin 
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Übersicht über Beanstandungen nach § 25 BDSG 


Bundesministerium des Innern 

- Verstoß der Bundesgrenzschutzdirektion gegen § 90a 

Bundesbeamtengesetz beim Umgang mit Beihilfeakten 
(s. Nr. 21.4) 

- Verstoß eines Bundesgrenzschutzamtes gegen die Rege- 
lungen der §§ 90 ff. Bundesbeamtengesetz beim Um- 
gang mit Personalaktendaten (s. Nr. 21.3.4) 

- Verstoß des BKA gegen §§ 3 DNA-Identitätsfeststel- 

lungsgesetz, 1 1 Abs. 2, 34 BKA-Gesetz i.V .m. der Er- 
richtungsanordnung zur DNA-Analyse-Datei wegen des 
Speicherns von Datensätzen des Bundesgrenzschutzes 
und des Zollfahndungsdienstes in der DNA-Analyse-Da- 
tei (s. Nr. 13.3) 

- Verstoß des BKA gegen § 3 DNA-ldentitätsfeststel- 

lungsgesetz i.V.m. §§ 81g Strafprozessordnung, 12 Abs. 
2 BKA-Gesetz wegen des Speichems unrechtmäßig vom 
BGS erhobener DNA-Identifizierungsmuster in der 
DNA-Analyse-Datei (s. Nr. 13.3) 

- Verstoß des BGS gegen §§ 81g, f Strafprozessordnung 
wegen der Erhebung von DNA-ldentifizierungsmustem 
zum Zwecke der Identitätsfeststellung in künftigen 
Strafverfahren ohne vorherige richterliche Anordnung 
(s. Nr. 13.3) 

- Verstoß des BGS gegen § 35 Abs. 2 Nr . 2 und Abs. 5 
Satz 2 BDSG wegen unterlassener Löschung von beim 
BGS gespeicherten personenbezogenen Daten und un- 
terlassener Vernichtung der entsprechenden Aktenvor- 
gänge (s. Nr. 14.1) 

- Verstoß des BGS gegen § 32 Abs. 1 BDSG wegen unzu- 
lässiger Übermittlung personenbezogener Daten an eine 
Landespolizeibehörde (s. Nr. 14.1) 

- Verstoß des BfV gegen innerdienstliche Vorschriften we- 
gen unterlassener V ernichtung von Akten nach Lö- 
schung personenbezogener Daten in NADIS-PZD (s. Nr. 
17.3) 

Bundesministerium der Finanzen 

- Verstoß einer Familienkasse gegen § 30 Abgabenord- 

nung wegen unzulässiger Datenübermittlung an die Per- 
sonalverwaltung eines öffentlich-rechtlichen Kreditinsti- 
tuts (s. Nr. 9.5) 

- Verstoß einer Familienkasse gegen § 93 Abgabenord- 

nung wegen unzulässiger Datenerhebung bei einem pri- 
vaten Arbeitgeber, anstatt beim Betroffenen (s. Nr. 9.6) 

- Verstoß gegen § 89 Abs. 6 T elekommunikationsgesetz 
wegen Unvereinbarkeit eines BMF-Schreibens mit die- 
ser Vorschrift (s. Nr. 9.8) 

- Verstoß der Staatlichen V ersicherung der DDR in Ab- 
wicklung gegen das Auskunftsrecht des Betrof fenen 
gern. § 19 BDSG (s. Nr. 10.4) 


- Verstoß des BMF gegen § 24 Abs. 4 Satz 1 Nr. 1 BDSG 
wegen mangelnder Mitwirkung auf ein Auskunftsersu- 
chen des BfD bezüglich der Dateianwendung „ZAU- 
BER“ beim Bundesamt für Finanzen (vgl. Nr. 15.3) 

Bundesministerium der Verteidigung 

- Verstoß eines Kreiswehrersatzamtes gegen § 17 Abs. 8 
Wehrpflichtgesetz wegen routinemäßiger Erhebung sen- 
sibler Daten Wehrpflichtiger im Rahmen der Eignungs- 
untersuchung und Eignungsfeststellung zum T eil bereits 
vor der Feststellung, ob der Betrof fene wehrdienstfähig 
ist (s. Nr. 30.3.1) 

- Zahlreiche Verstöße gegen die Regelungen der §§90 ff. 
Bundesbeamtengesetz beim Umgang mit Personalakten 
(s. Nr. 21.2.3.2) 

Bundesministerium für Familie, Senioren, Frauen und 

Jugend 

- Verstoß des Bundesamtes für den Zivildienst gegen § 36 
Zivildienstgesetz wegen Speicherung nicht erforderli- 
cher Daten in der Personalakte eines Zivildienstleisten- 
den (s. Nr. 31.1) 

Bundesministerium für Verkehr, Bau- und 

Wohnungswesen 

- Zwei Beanstandungen wegen V erstößen des Kraft- 
fahrt-Bundesamtes gegen die Regelungen der §§ 90 ff. 
Beamtengesetz beim Umgang mit Personalaktendaten 
(automatisiert und manuell) sowie hierbei eine Bean- 
standung wegen eines Verstoßes gegen § 9 BDSG nebst 
Anlage wegen Mängeln im Bereich der Datensicherheit 
beim Umgang mit Personalaktendaten (s. Nr. 21.3.4) 

Bundesanstalt für Arbeit 

- Verstoß eines Arbeitsamtes gegen §§ 67a Abs. 2 und 69 
Abs. 1 Nr. 2 SGB X wegen rechtswidriger Erhebung von 
Daten bei einem ehemaligen Arbeitgeber und Übermitt- 
lung der Daten an das Sozialgericht (s. Nr. 23.5.1) 

- Verstoß eines Arbeitsamtes gegen § 69 Abs. 1 Nr. 1 SGB 
X wegen rechtswidriger Übermittlung von Daten an eine 
Krankenkasse (s. Nr. 23.5.2) 

- Verstoß eines Mitarbeiters eines Arbeitsamtes gegen 

§ 402 Abs. 1 SGB 111 wegen rechtswidriger Erhebung und 
Nutzung von Daten zu privaten Zwecken (s. Nr. 23.5.3) 

- Verstoß eines Arbeitsamtes gegen § 35 SGB 1 i. V. m. 

§ 67d Abs. 1 SGB X wegen rechtswidriger Übermittlung 
von Daten an private Dritte (s. Nr. 23.5.4) 

Deutsche Post AG 

- Verstoß gegen § 90 Abs. 3 und 4 Bundesbeamtengesetz 
(Beamte) und § 12 Abs. 4, § 28 Abs. 1 Satz 1 Nr. 1 und 
Satz 2 BDSG (Arbeitnehmer) wegen der Erhebung und 



Deutscher Bundestag - 15. Wahlperiode 


- 175 - 


Drucksache 15/888 


Speicherung von Krankheitsdaten in der Personalakte, 
Verstoß gegen § 90 Abs. 3 Bundesbeamtengesetz wegen 
des uneingeschränkten Zugangs zu Personalakten durch 
Fachvorgesetzte und Verstoß gegen § 90 Abs. 4 Bundes- 
beamtengesetz i. V. m. §§ 46a, 42 Abs. 1 Satz 3 Bundes- 


noch Anlage 3 

beamtengesetz (Beamte) und gegen §§ 13 Abs. 1, 12 Abs. 
4 i. V. m. § 28 Abs. 1 Satz 2 BDSG (Arbeitnehmer) bei 
der Erhebung von Krankheitsdaten bei den Ärzten von 
Mitarbeitern, von denen hierfu r eine „Schweigepflicht- 
entbindungserklärung“ verlangt wurde (s. Nr. 21.2.3.1) 
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Anlage 4 (zu Nrn. 11.3.3 und 32.5) 


24. Internationale Datenschutzkonferenz vom 9. bis 11. September 2002: 

Statement of the European Data Protection Commissioners at the International Conference 
on mandatory systematic retention of telecommunication traffic data 


The European Data Protection Commissioners have noted 
with concern that in the third pillar of the EU, proposals are 
considered which would result in the mandatory systematic 
retention of traffic data concerning all kinds of telecommu- 
nication (i.e. details about time, place and numbers used for 
phone, fax, e-mail and other use of the internet ) for a period 
of one year or more, in order to permit possible access by 
law enforcement and security bodies. 

The European Data Protecti on Commissioners have grave 
doubt as to the legitimacy and legality of such broad mea- 
sures. They also want to draw attention to the excessive 
costs that would be involved for the telecommunication and 
internet industry, as well as to the absence of such measures 
in the United States. 

The European Data Protection Commissioners have repeat- 
edly emphasized that such retention would be an improper 
invasion of the fundamental rights guaranteed to individuals 
by Article 8 of the European Convention on Human Rights, 
as further elaborated by the European Court of Human 
Rights (see Opinion 4/2001 of the Article 29 Working Party 
established by Directive 95/46/EC, and Declaration of 
Stockholm, April 2000). 


The protection of telecommunication traffic data is now also 
provided by Directive 2002/58/EC of the European Parlia- 
ment and the Council concerning privacy and electronic 
Communications (Official Journal L 201/37), under which 
Processing of traffic data is in principle allowed for billing 
and interconnection payments . After lengthy and explicit 
debate, retention of traffic data for purposes of law enforce- 
ment should meet strict condi tions under Article 15 (1) of 
the Directive: i.e. in each case only for a limited period and 
where necessary, appropriate and proportionate in a demo- 
cratic Society. 

Where traffic data are to be reta ined in specific cases, there 
must therefore be a demonstrable need, the period of reten- 
tion must be as short as possible and the practice must be 
clearly regulated by law , in a way that provides suf ficient 
safeguards against unlawfiil access and any other abuse. 
Systematic retention of all kinds of traffic data for a period 
of one year or more would be clearly disproportionate and 
therefore unacceptable in any case. 

The European Data Protection Commissioners expect that 
the Article 29 Working Party will be consulted on measures 
that may emer ge from the third pillar discussions before 
they are adopted. 



Deutscher Bundestag - 15. Wahlperiode 


- 177 — 


Drucksache 15/888 


Anlage 5 (zu Nr. 32.5) 


24. Internationale Datenschutzkonferenz vom 9. bis 11. September 2002: 
Communique from Closed Session 9/9/02 


Representatives from over 50 Data Protection Authorities 
and Privacy Commissioners attended the 24 th International 
Data Protection and Privacy Commissioners Conference 
held in Cardiff, Wales. The Conference was jointly hosted 
by the Commissioners from Republic of Ireland, Jersey , 
Guemsey, Isle of Man and the United Kingdom. 

The assembled Commissioners and their representatives 
discussed many matters of common concem ranging from 
privacy issues in relation to websites through to video sur- 
veillance of the population in public and private places. 
However, the Commissioners devoted a substantial amount 
of time to considering the va rious national responses to the 
terrorist attacks on 1 1 th September 200 1 . 


The Commissioners agreed that whilst there is the need to 
protect society from such ou träges the reaction in many 
countries may have gone beyond a measured response to the 
terrorist threat with serious implications for personal pri- 
vacy. The Commissioners agreed that the need to safeguard 
personal privacy in such developments remains an essential 
task for the world wide data protection community . Unless 
an approach is taken by Governments which correctly 
weighs data protection and privacy concems there is a real 
danger that they will Start to undermine the very fundamen- 
tal freedoms they are seeking to protect. 
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Konferenz der Europäischen Datenschutzbeauftragten vom 10. bis 11. Mai 2001: 
Retention of traffic data by Internet Service Providers (ISP’s) 


The Spring 2001 Conference of European Data Protection 
Commissioners notes with continuing concem proposals 
that IPS’s should routinely retain traffic data beyond the re- 
quirements of billing purposes in Order to permit possible 
access by law enforcement bodies. 

The Conference emphasises its view expressed in Stock- 
holm that such retention would be an improper invasion of 
the fundamental rights guaranteed to individuals by Article 
8 of the European Convention on Human Rights and in rela- 
tion to the processing of personal data by the 1981 Council 


of Europe Convention for the Protection of Individuals with 
regard to the Automatic Processing of Personal Data (Con- 
vention 108). The Conference points out that such retention 
would also invade the rights to privacy and data protection 
specified by Articles 7 and 8 of the recently adopted Charter 
of Fundamental Rights of the European Union. Where traf- 
fic data are to be retained in specific cases, there must be a 
demonstrable need, the period of retention must be as short 
as possible, and the practice must be clearly regulated by 
law. 
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Konferenz der Europäischen Datenschutzbeauftragten vom 10. bis 11. Mai 2001: 
Declaration on Article 8 of the EU Charter of Fundamental Rights 


The Spring Conference of European Data Protection Com- 
missioners notes with satisfaction that Article 8 of the Char- 
ter of Fundamental Rights of the European Union strength- 
ens the provisions on data protection that have been issued 
in the past few years so that the right to data protection is fi- 
nally recognised as a fundamental human right. 

A veritable „European model“ has been established for data 
protection. This model is shaping discussions in the interna- 
tional community and should positively influence the dif fu- 


sion of an approach considering data protection as a funda- 
mental human right and a basic component of e-citizenship. 

This personal data protection model should serve as a guide- 
line for all European Union’s institutions in revising the ex- 
isting legislation and developi ng new rules as well as in 
shaping their relationships with third countries. The Confer- 
ence would like to draw the Commission’s and Parliament’s 
attention to this important requirement. 
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Von der Arbeitsgruppe nach Artikel 29 der EG-Datenschutzrichtlinie angenommene Dokumente 


WP 38 (5102/00) 

WP 39 (5109/00) 

WP 40 (5095/00) 

WP 41 (5001/01) 

WP 42 (5008/01) 

WP 43 (5020/01) 

WP 44 (5003/00) 

WP 46 (5019/01) 

WP 47 (5061/01) 

WP 48 (5062/01) 

WP 49 (5032/01) 

WP 51 (5074/01) 


Stellungnahme 1/2001 

zum Entwurf einer Entscheidung der Kommission betreffend die 
Standardvertragsklauseln für die Übermittlung personenbezogener Daten in 
Drittländer nach Artikel 26 Absatz 4 der Richtlinie 95/46 
Angenommen am 26. Januar 2001 

Stellungnahme 2/200 1 

zum Datenschutzniveau des kanadischen „Personal Information and Electronic 
Documents Act“ 

Angenommen am 26. Januar 2001 
Stellungnahme 3/2001 

zum Datenschutzniveau des australischen „Privacy Amendment (Private Sector) Act 
2000 “ 

Angenommen am 26. Januar 2001 
Stellungnahme 4/200 1 

zum Entwurf einer Konvention des Europarats über Cyberkriminalität 
Angenommen am 22. März 2001 

Empfehlung 1/2001 

hinsichtlich Daten in Beurteilungen von Arbeitnehmern 
Angenommen am 22. März 2001 

Empfehlung 2/2001 

zu einigen Mindestanforderungen für die Online-Erhebung personenbezogener Daten 
in der Europäischen Union 
Angenommen am 17. Mai 2001 

Stellungnahme 5/2001 

zum Sonderbericht des Europäischen Bürgerbeauftragten an das Europäische 
Parlament im Anschluss an den Empfehlungsentwurf an die Europäische 
Kommission in der Beschwerde 7 1 3/98/IJH 
Angenommen am 17. Mai 2001 

Vierter Jahresbericht 

über den Stand des Schutzes natürlicher Personen bei der Verarbeitung 
personenbezogener Daten und des Schutzes der Privatsphäre in der Gemeinschaft und 
in Drittländern, Berichtsjahr 1999 
Angenommen am 17. Mai 2001 

Stellungnahme 7/2001 

zum Entwurf der Entscheidung der Kommission in der Fassung vom 3 1 . August 2001 
über Standardvertragsklauseln zur Übermittlung personenbezogener Daten an 
Datenverarbeiter in Drittländer nach Artikel 26 Absatz 4 der Richtlinie 95/46 
Angenommen am 13. September 2001 

Stellungnahme 8/2001 

bezüglich der Verarbeitung personenbezogener Daten in Arbeitgeber/ 

Arbeitnehmer-Beziehungen 

Angenommen am 13. September 2001 

Arbeitspapier 

zur empfohlenen Praktik 1774 der 1ATA 
Angenommen aml3. September 2001 

Stellungnahme 9/2001 zur 

Mitteilung der Kommission über die „Schaffung einer sichereren 
Infonnationsgesellschaft durch Verbesserung der Sicherheit von 
Infonnationsinfrastrukturen und Bekämpfung der Computerkriminalität“ 
Angenommen am 5. November 2001 
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WP 56 (5035/01) 

WP 57 (10761/02) 

WP 58 (10750/02) 

WP 60 (11203/02) 

WP 61 (11190/02) 

WP 62 (11194/02) 
WP 63 (11081/02) 

WP 64 (11818/02) 

WP 65 (11118/02) 

WP 66 (11647/02) 


Beschluss 1/2001 

über die Teilnahme von Vertretern der Kontrollstellen in den Beitrittsländem an 
Sitzungen der Artikel 29-Datenschutzgruppe 
Angenommen am 13. Dezember 2001 

Stellungnahme 10/2001 

zur Notwendigkeit eines ausgewogenen Vorgehens im Kampf gegen den Terrorismus 
Angenommen am 14. Dezember 2001 

Fünfter Jahresbericht 

über den Stand des Schutzes natürlicher Personen bei der Verarbeitung 
personenbezogener Daten und des Schutzes der Privatsphäre in der Europäischen 
Union und in Drittländern, 

Berichtsjahr 2000Angenommen am 6. März 2002 

Arbeitsdokument 

zur Überwachung der elektronischen Kommunikation von Beschäftigten 
Angenommen am 29. Mai 2002 

Arbeitspapier 

über die Frage der internationalen Anwendbarkeit des EU-Datenschutzrechts bei der 
Verarbeitung personenbezogener Daten im Internet durch Websites außerhalb der EU 
Angenommen am 30. Mai 2002 

Hintergrundinfonnationen 

zum Bericht von CEN/ISSS über Standardisierung und Normung im Bereich des 
Datenschutzes in Europa (CEN, Comite Europeen de Nonnalisation) 

Angenommen am 30. Mai 2002 

Stellungnahme 

über die Verwendung von eindeutigen Kennungen bei Telekommunikations- 
endeinrichtungen: das Beispiel IPv6 
Angenommen am 30. Mai 2002 

Arbeitsdokument 

Erste Orientierungen der Artikel 29 Datenschutzgruppe zu on-line 
Authentifizierungsdiensten Angenommen am 2. Juli 2002 

Stellungnahme 3/2002 

über die Datenschutzbestimmungen eines Richtlinienvorschlags der Kommission zur 
Harmonisierung der Rechte, Regelungen und Verwaltungsbestimmungen der 
Mitgliedstaaten zum Konsumentenkredit Angenommen am 2. Juli 2002 

Arbeitsdokument zur Funktionsweise des Safe Harbor- Abkommens 
Angenommen am 2. Juli 2002 

Stellungnahme 4/2002 zum Niveau des Schutzes personenbezogener Daten in 
Argentinien 

Angenommen am 3. Oktober 2002 
Stellungnahme 5/2002 

zur Erklärung der europäischen Datenschutzkommissare anlässlich der 
Internationalen Konferenz in Cardiff (9. bis 11. September 2002) bezüglich der 
verbindlichen systematischen Aufbewahrung von Verkehrsdaten im 
Telekommunikationssektor 
Angenommen am 1 1 . Oktober 2002 

Arbeitsdokument 
über Schwarze Listen 
Angenommen am 3. Oktober 2002 

Stellungnahme 6/2002 

betreffend der Übermittlung von Infonnationen, die Passagiere betreffen sowie andere 
Flugliniendaten an die USA 


Angenommen am 24. Oktober 2002 
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Anlage 9 (zu Nr. 3.4) 


Entschließung der 61. Konferenz der Datenschutzbeauftragten des Bundes und der Länder 
vom 8. bis 9. März 2001 : 

Informationsgesetze 


Die Konferenz verfolgt mit Interesse die Bestrebungen des 
Bundes, ein Informationszugangsgesetz zu schaffen und dem 
Bundesbeauftragten für den Datenschutz die Aufgaben zur 
Sicherung des Informationszugangs zu übertragen. Die Bun- 
desregierung nimmt damit die Überlegungen auf, die in Ar- 
tikel 255 EU-Vertrag und Artikel 42 EU-Grundrechte-Charta 
zum Ausdruck kommen. Die Konferenz betont, dass das 
Recht auf informationeile Se lbstbestimmung der Einzelnen 
dem freien Zugang zu behördenintemen, amtlichen Informa- 
tionen nicht entgegen steht, wenn die Privatsphäre der Be- 


troffenen sowie Betriebsgeheimnisse gesetzlich geschützt 
bleiben. Die Berichte aus den Ländern Berlin, Brandenburg 
und Schleswig-Holstein zeigen, dass die datenschutzrechtli- 
chen Gewährleistungen für di e informationelle Selbstbe- 
stimmung sich mit dem erweiterten Zugangsrecht zu den In- 
formationen öffentlicher Stellen unter der V oraussetzung 
entsprechender Schutzmechanismen vereinbaren lassen. Die 
Zusammenführung von Datensc hutz- und Informationszu- 
gangskontrolle kann diese Gewährleistung institutionell ab- 
sichem. 
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Anlage 10 (zu Nr. 7.3) 

Entschließung der 61. Konferenz der Datenschutzbeauftragten des Bundes und der Länder 
vom 8. bis 9. März 2001 : 

Novellierung des Melderechtsrahmengesetzes 


Die Datenschutzbeauftragten des Bundes und der Länder 
begrüßen die Absicht der Bundesregierung, das Melde- 
rechtsrahmengesetz im Hinblick auf die neuen Informa- 
tions- und Kommunikationstechnologien zu modernisieren 
und einzelne unnötige Meldepflichten abzuschaffen. 

1. Allerdings sind aus dem vorliegenden Gesetzentwurf 
Tendenzen zu erkennen, dass durch den Zusammen- 
schluss mehrerer Melderegis ter übergreifende Dateien 
entstehen können, die letztlich sogar zu einem zentralen 
Melderegister führen würden. Eine solche Entwicklung 
wäre aus datenschutzrechtlicher Sicht nicht hinnehmbar, 
weil damit das Recht auf info nnationelle Selbstbestim- 
mung der Bür gerinnen und Bür ger unverhältnismäßig 
eingeschränkt werden würde. 

2. Bereits die bisherige Rechtslage, nach der nahezu jeder- 
mann eine einfache Melderegisterauskunft von der Mel- 
debehörde erhalten kann, ist äußerst unbefriedigend. 
Dies wird dadurch verschärft, dass der Gesetzentwurf — 
wie in seiner Begründung ausdrücklich betont wird - 
nunmehr vorsieht, einfache Melderegisterauskünfte mit- 
hilfe des Internet durch jedermann auch elektronisch ab- 
rufen zu können. Um sich gegen eine unkontrollierte 
Weitergabe solcher über das Internet zum Abruf bereit- 
gehaltener Daten schützen zu können und weil beim in- 
temetgestützten Abruf die gesetzlich vor geschriebene 
Berücksichtigung der schutzwürdigen Belange Betroffe- 
ner nicht möglich ist, sollte für die Bür gerin oder den 
Bürger in diesen Fällen ei n ausdrückliches Einwilli- 
gungsrecht oder mindestens ein W iderspruchsrecht ge- 
schaffen werden. Es handelt sich hier um personenbezo- 
gene Daten, die auf der Grundlage einer gesetzlichen 
Auskunftspflicht erhoben wurden. 


3. Auch für öffentliche Stellen sollte in das Gesetz eine Be- 
stimmung aufgenommen werden, wonach bei elektroni- 
schen Abrufverfahren über das Internet zur Wahrung der 
schutzwürdigen Interessen der Betrof fenen zumindest 
Verfahren der fortgeschrittenen elektronischen Signatur 
gemäß den Regelungen des Signatuigesetzes einzusetzen 
sind. 

4. Nach geltendem Recht ist jede Melderegisterauskunft 
unzulässig, wenn eine Gefahr für Leben, Gesundheit, 
persönliche Freiheit oder ähnliche schutzwürdige Be- 
lange glaubhaft gemacht wird. Diese Regelung hat sich 
bewährt. Die Datenschutzbeauftragten treten angesichts 
des in diesen Fällen best ehenden hohen Schutzbedarfs 
dem Vorhaben entschieden entgegen, diese Regelung 
durch eine Risikoabwägung im Einzelfall aufzuweichen. 

5. Bislang dürfen Meldebehörden an Parteien, Wählergrup- 
pen und andere T räger von W ahlvorschlägen Auskunft 
über Daten von Gruppen von W ahlberechtigten erteilen, 
sofern die W ahlberechtigten dieser Auskunftserteilung 
nicht widersprochen haben. Die Datenschutzbeauftrag- 
ten bekräftigen ihre bereits in der V ergangenheit erho- 
bene Forderung, gesetzlich zu regeln, dass eine Einwilli- 
gung der Betrof fenen Voraussetzung für solche 
Datenweitergaben sein muss. Die bisherige W ider- 
spruchslösung ist in weiten Kreisen der Bevölkerung un- 
bekannt. 

6. Außerdem fordern die Datenschutzbeauftragten, die Ho- 
telmeldepflicht abzuschaffen, da die hiermit verbundene 
millionenfache Datenerhebung auf V orrat unverhältnis- 
mäßig ist. 

Bei Enthaltung Thüringens zu Ziffer 6. 
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Anlage 11 (zu Nr. 8.5) 


Entschließung der 61. Konferenz der Datenschutzbeauftragten des Bundes und der Länder 
vom 8. bis 9. März 2001 : 

Datenschutz bei der Bekämpfung von Datennetzkriminalität 


Der Europarat entwirft gegenwärtig zusammen mit anderen 
Staaten, insbesondere den USA und Japan, eine Konvention 
über Datennetzkriminalität (C yber-crime-Konvention), die 
über ihren Titel hinaus auch die automatisierte Speicherung 
von Daten im Zusammenhang mit anderen Straftaten regeln 
soll. 1 ) 

Die Datenschutzbeauftragten des Bundes und der Länder ver- 
kennen nicht, dass das Internet — ebenso wie andere techni- 
sche Hilfsmittel - für Straftaten missbraucht wird. Sie teilen 
daher die Auffassung des Europarats, dass der Kriminalität 
auch im Internet wirksam begegnet werden muss. Allerdings 
ist zu beachten, dass sich die weit überwiegende Anzahl der 
Nutzenden an die gesetzlichen Vorgaben hält. Insoweit steht 
sich die Frage der Verhältnismäßigkeit von Maßnahmen, die 
alle Nutzenden betreffen. 

Die Datenschutzbeauftragten des Bundes und der Länder tei- 
len die Auffassung der Europäischen Kommission, dass zur 
Schaffung einer sichereren Infonnationsgesellschaft in erster 
Linie die Sicherheit der Infonnationsinfrastruktur verbessert 
werden und anonyme wie pseudonyme Nutzungsmöglichkei- 
ten erhalten bleiben müssen; über Fragen der Bekämpfung 


■> European Committee on Crimes Problems (CDPC), Committee of 
Experts on Crime in Cyber-Space (PC-CY), Draft Convention on Cy- 
ber-crime (PC-CY (2000) Draft No. 25) 

2 * Mitteilung der Kommission an den Rat, das Europäische Parlament, 
den Wirtschafts- und Sozialausschuss und den Ausschuss der Regio- 
nen vom 26.01.2001 - KOM (2000) 890 endgültig 


der Datennetzkriminalität sollte ein offener Diskussionspro- 
zess unter Einbeziehung der Betreiberinnen und Betreiber , 
Bürgerrechtsorganisationen, Verbraucherverbände und Daten- 
schutzbeauftragten geführt werden. 2 ) 

Die Konferenz regt eine entsprechende Debatte auch auf na- 
tionaler Ebene an und bittet die Bundesregierung, hierfür 
den erforderlichen Rahmen zu schaffen. 

Die Konferenz der Datenschut zbeauftragten fordert die 
Bundesregierung auf, sich bei der Schaffung von nationalen 
und internationalen Regelungen zur Bekämpfung von Da- 
tennetzkriminalität dafür einzusetzen, dass 

- Maßnahmen zur Identifikation von Intemetnutzenden, 
zur Registrierung des Nutzungsverhaltens und Übermitt- 
lung der dabei gewonnenen Daten für Zwecke der Straf- 
verfolgung erst dann erfolgen dürfen, wenn ein konkre- 
ter Verdacht besteht, 

- der Datenschutz und das Femmeldegeheimnis gewähr- 
leistet und Grundrechtseingrif fe auf das unabdingbare 
Maß begrenzt werden, 

- der Zugriff und die Nutzung personenbezogener Daten 
einer strikten und eindeutigen Zweckbindung unterwor- 
fen werden, 

- Daten von Intemetnutzende n nur in Länder übermittelt 
werden dürfen, in denen ein angemessenes Niveau des 
Datenschutzes, des Femmeldegeheimnisses und der In- 
formationsfreiheit gewährleistet ist sowie verfahrensmä- 
ßige Garantien bei entsprechenden Eingriffen bestehen. 
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Anlage 12 (zu Nr. 19.2) 

Entschließung der 61. Konferenz der Datenschutzbeauftragten des Bundes und der Länder 
vom 8. bis 9. März 2001 : 

Novellierung des GIO-Gesetzes 


Die Datenschutzbeauftragten des Bundes und der Länder 
sehen mit großer Sorge, dass die Empfehlungen des Rechts- 
und des Innenausschusses des Bundesrates erhebliche Ein- 
schränkungen der Persönlichkeitsrechte der Bür gerinnen 
und Bürger zur Folge hätten, die über den Gesetzentwurf 
der Bundesregierung teilweise weit hinausgehen. Die Da- 
tenschutzbeauftragten wenden sich insbesondere entschie- 
den dagegen, dass 

- die Befugnisse der Nachrichtendienste zur Übermittlung 
und Verwendung von GlO-Daten an Strafverfolgungsbe- 
hörden gegenüber dem Gesetzentwurf noch deutlich er- 
weitert werden sollen, indem Erkenntnisse der Nachrich- 
tendienste u. a. zur Strafverfolgung weit über die 
Schwerkriminalität hinaus genutzt werden dürften; 

- der Verzicht auf die Kennzeichnung von GlO-Daten so- 
gar ohne vorherige Zustimmung der GlO-Kommission 
zulässig sein und 

- die Schwelle dafür, endgültig von der Benachrichtigung 
Betroffener abzusehen, deutlich herabgesetzt werden 
soll. 

Darüber hinaus kritisieren di e Datenschutzbeauftragten des 
Bundes und der Länder , dass die Bundesregierung mit der 
Gesetzesnovelle über die Vorgaben des BVerfG hinaus wei- 
tere Änderungen im GlO-Bereich erreichen will, die neue 
grundrechtliche Beschränkungen vorsehen: 

- Die Anforderungen an die ha lbjährlichen Berichte des 
zuständigen Bundesministers an die PKG müssen so ge- 
fasst werden, dass eine wirksame parlamentarische Kon- 
trolle erreicht wird. Dies is t derzeit nicht gewährleistet. 
Deshalb muss über Anlass, Umfang, Dauer , Ergebnis 
und Kosten aller Maßnahmen nach dem GlO-Gesetz so- 
wie über die Benachrichtigung der Beteiligten berichtet 
werden. Die gleichen Anforderungen müssen auch für 
die Berichte der PKG an den Bundestag gelten. 

- Die Neuregelung, nach der auch außerhalb der Staats- 
schutzdelikte mutmaßliche Einzeltäter und lose Gruppie- 
rungen den Maßnahmen nach dem GlO-Gesetz unterlie- 
gen sollen, stellt das T rennungsgebot nach Artikel 87 
Abs. 1 Satz 2 GG weiter infrage. Ermittlungen von der 
Eingriffsschwelle eines konkreten Anfangsverdachts zu 
lösen und nach nachrichtendienstlicher Art schon im 
Vorfeld zur Verdachtsgewinnung durchzuführen, weitet 


die Gefahr unverhältnismäßig aus, dass auch gegen Un- 
bescholtene strafrechtlich ermittelt wird. 

- Alle Neuregelungen wie z. B. zum Parteienverbotsver- 
fahren, zur Verwendung von GlO-Erkenntnissen bei Ge- 
fahren für Leib oder Leben einer Person im Ausland und 
zu Spontanübermittlungen an den BND müssen befristet 
und einer ef fizienten Erfolgskontrolle unterzogen wer- 
den. 

- Bei der internen Datenverarbeitung durch die Nachrich- 

tendienste ist die Zweckbindung so zu formulieren, dass 
die erhobenen Daten nicht zur Erforschung und V erfol- 
gung anderer als der in § 3 und § 5 G10-E genannten 

Straftaten genutzt werden dürfen. 

- Die vorgesehenen Ausnahmen von der vom B V erfG ge- 
forderten Kennzeichnungspflicht bei der Übermittlung 
von Daten, die aus GlO-Maßnahmen stammen, begeg- 
nen schwerwiegenden datenschutzrechtlichen Bedenken. 

- Im Gesetzentwurf fehlt die Regelung, dass eine W eiter- 
übermittlung an andere Stellen und Dritte nicht zulässig 
ist. Sie darf nur durch die erhebende Stelle erfolgen. Die 
Weitergabe von GlO-Daten an andere Dienststellen ist 
bei der übermittelnden Stelle stets zu dokumentieren und 
zu kennzeichnen. 

- Eine dauerhafte Ausnahme von der Benachrichtigungs- 
pflicht ist abzulehnen. Sie würde für die Betrof fenen zu 
einem Ausschluss des Rechtsweges führen. 

- Dem BND wird nicht mehr nur die „strategische Über- 
wachung“ des nicht leitungsgebundenen, sondern künf- 
tig des gesamten internat ionalen Telekommunikations- 
verkehrs ermöglicht. Dies setzt den Zugrif f deutscher 
Stellen auf Telekommunikationssysteme in fremden Ho- 
heitsbereichen voraus. Dabei muss sichelgestellt werden, 
dass die Anforderungen des Völkerrechts eingehalten 
werden. 

- Die Überwachung internationaler Telekommunikations- 
beziehungen im Falle einer Gefahr für Leib oder Leben 
einer Person im Ausland (§ 8 G10-E) ermöglicht sehr in- 
tensive Grundrechtseingriffe in großer Zahl und mit ei- 
ner hohen Dichte, die höher sein kann als bei „strategi- 
schen Überwachung“ nach § 5 G10-E. Dies setzt eine 
hohe Eingriffsschwelle und enge zeitliche Befristungen 
voraus, die der Entwurf nicht hinreichend vorsieht. 
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Anlage 13 (zu Nr. 24.1.1) 


Beschluss der 61. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 
8. bis 9. März 2001 zum Arbeitsentwurf des Bundesministeriums für Gesundheit für ein Gesetz zur 
Verbesserung der Datentransparenz und des Datenschutzes in der gesetzlichen Krankenversicherung 
(Transparenzgesetz - GKV - TG) 


Die Datenschutzkonferenz begrüßt es, dass mit dem Ar- 
beitsentwurf die Forderung der Konferenz wieder aufgegrif- 
fen wird, durch Pseudonymisierung des Abrechnungsver- 
fahrens die Belange des Patientengeheimnisses und des 
Datenschutzes zu wahren. Ziel muss sein, den „gläsernen Pa- 
tienten“ bei den gesetzlichen Krankenkassen zu vermeiden. 
Mit Pseudonymisierungsverfahren lässt sich dieses Ziel er- 
reichen, ohne dass beispielsweise die Kostenkontrolle oder 
Qualitätssicherung durch eine Krankenkasse beeinträchtigt 
wäre. Der Deutsche Bundestag hat die Realisierbarkeit die- 
ses Ansatzes mit seinem Be Schluss eines Gesundheitsre- 
formgesetzes vom 4. November 1999, der nach einem V er- 
mittlungsverfahren aus anderen als datenschutzrechtlichen 
Gründen nicht in vollem Umfang in Kraft getreten ist, be- 
reits bejaht. 

Die Datenschutzkonferenz begrüßt es weiterhin, dass in 
dem Arbeitsentwurf im Rahmen einer Klausel „Modellvor- 
haben Telematik“ die Weiterentwicklung des Datenschutzes 
als Ziel vorgegeben und dazu gefordert wird, die Modell- 
vorhaben im Benehmen mit den Datenschutzbehörden 
durchzuführen. Die Konferenz geht dabei davon aus, dass 
unter „Weiterentwicklung“ die Sicherung der Patienten- 
rechte auf W ahrung des Arztgeheimnisses und des Daten- 
schutzes auch unter den Randbedingungen der Telematikan- 
wendungen im medizinischen Bereich zu verstehen ist. Sie 
weist dazu besonders auf ihre Beschlüsse von der 47. und 
der 50. Konferenz zu Chipkarten im Gesundheitswesen hin, 
mit denen die Sicherung von Patientenautonomie und 
Transparenz sowie die Sicherheit der Datenverarbeitung ge- 
fordert wurde. 

Die Konferenz nimmt auch zustimmend zur Kenntnis, dass 
durch die Begrenzung auf die V erarbeitung von höchstens 
20 % der Versichertendaten in den Datenannahme- und -wei- 
terleitungsstellen der Gefahr der Bildung mehr oder weniger 
bundesweiter Dateien mit sensiblen medizinischen Daten der 
Krankenversicherten begegnet werden soll. 

Die Konferenz hält zu nach stehenden Punkten ergänzende 
Regelungen bzw. nähere Darlegungen für erforderlich: 

— Die Effektivität eines Pseudonymisierungsverfahrens 
zum Schutz der sensiblen V ersichertendaten steht und 
fällt mit sicheren Pseudonymen, mit der klaren Begren- 
zung von Reidentifikationen au f im überwiegenden öf- 
fentlichen Interesse absolut notwendige Fälle und der 
Vermeidung des Abgleichs mit identifizierenden Klarda- 
ten. 

Unter diesen Aspekten hält die Datenschutzkonferenz 
den Katalog der Reidentifikationsfälle für bedenklich: 

So ist nicht ersichtlich, in wieweit die Kr ankenkassen 
zur Durchführung des Risikostrukturausgleichs versi- 
chertenbezogene Detailangaben über Diagnosen und 
Leistungen benötigen. Das gilt auch im Hinblick auf in 


jüngsten Pressemeldungen berichtete Absichten, im 
Rahmen des Risikostrukturausgleichs einen so genann- 
ten Risikopool einzuführen, über den Kassen mit so ge- 
nannten schlechten Risiken verstärkte Ausgleichsmittel 
erhalten sollen. Die Feststellung derartiger „schlechter 
Risiken“ kann auch über Pseudonyme und die ihnen zu- 
geordneten Leistungszahlen erfolgen. Im Falle der Un- 
terstützung der Versicherten bei Verdacht auf Behand- 
lungsfehler sollte die Einw illigung der V ersicherten in 
die Reidentifikation, die durch die V ertrauens stelle ein- 
geholt werden könnte, angestrebt werden. Auch weitere 
Katalogfälle von Reidentifikationen sind kritisch zu hin- 
terfragen, so insbesondere die Reidentifikation von Ver- 
sicherten unter Bekanntgabe des Pseudonyms gegenüber 
den Kassen(zahn)ärztlichen Vereinigungen. 

Es muss verhindert werden, dass über einen zu weit ge- 
fassten Katalog von Reidentifikationsfällen ohne Zu- 
stimmung der Versicherten das Ziel der Pseudonymisie- 
rung praktisch verfehlt wir d. Es ist zu gewährleisten, 
dass keine personenbezogenen Krankheitsdatenkonten 
bei den gesetzlichen Krankenversicherungen, oder kurz 
gesagt, dass keine gläsernen Patienten entstehen. 

ln gleicher W eise ist zuverlässig zu vermeiden, dass 
durch Abgleich mit zeitweilig vorhandenen Klardaten 
Pseudonyme aufgelöst werden. Hierfür ist eine gesetzli- 
che Sicherstellung erforderlich. 

Schließlich ist die Begrenzung der Speicherung und die 
Zweckbindung aufgelöster Pseudonyme nicht ausrei- 
chend klar. Über eine Verweisung in § 284 SGB V wür- 
den die dortigen erweiterten Zweckänderungs- und V er- 
arbeitungsregelungen auch auf die Speicherungen von 
aufgelösten Pseudonymen angewandt und damit die an- 
scheinend strengen Speicherungs- und Zweckbindungs- 
regelungen des Arbeitsentwurfs für die genannten Daten 
ausgehöhlt. Es müsste klargestellt werden, dass die spe- 
ziellen Speicher- und Zweckbindungsregelungen der all- 
gemeinen Regel des § 284 SGB V Vorgehen. 

Die oben erwähnte, nicht in Kraft getretene Fassung der 
GKV-Gesundheitsreform 2000 sah die alsbaldige 
Pseudonymisierung der V ersichertendaten in allen Ab- 
rechnungen der Leistungserbringer vor , und zwar vor 
Kenntnisnahme durch die Kr ankenkassen. Der jetzige 
Arbeitsentwurf sieht die Pseudonymisierung der V ersi- 
chertendaten in den Abrechnungen aller nichtvertrags- 
ärztlichen Leistungserbringer erst nach Überprüfung 
durch die Krankenkassen vor . Dies wäre ein daten- 
schutzrechtlicher Rückschritt gegenüber dem Gesetzes- 
beschluss vom 4. November 1999. Die fachliche Erfor- 
derlichkeit dieses Rückschritts sollte, nicht zuletzt auch 
angesichts des o. g. Bundestagsbeschlusses, näher be- 
gründet werden. Zumindest sollte über eine W eiterent- 
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wicklungsklausel die Nutzung von Pseudonymen auch 
für diese Leistungsabrechnungen angestrebt werden. 
Dazu sollte auch geprüft werden, in wieweit die Kran- 
kenversichertenkarte als M ittel zur Pseudonymisierung 
verwendet werden kann. 

- Die Konferenz fordert im Sinn von Lösungen, die dem 
Datensparsamkeitsprinzip genügen, auch eine Pseudony- 
misierung der Daten der V ertragsärztinnen und -ärzte. 
Angesichts der Deckelung der vertragsärztlichen Leis- 
tungen und der Verordnungen ist nicht ersichtlich, inwie- 
fern für die GKV personenbezogene Daten dieser Leis- 
tungserbringer erforderlich sind. Es müsste ausreichen, 
wie bei den Versicherten die Reidentifikation nur in ge- 
setzlich festgelegten Ausnahme fällen vorzusehen. Die 
regionalen Datenauswertungsstellen sollen die Daten 
auch der sonstigen Leistungserbringer nur pseudonymi- 
siert erhalten. 

- Die Konferenz würde es generell begrüßen, wenn im 
Rahmen der Reformüberlegungen zur Gesundheitsver- 
sorgung nach Systemen gesucht würde, die mit mög- 
lichst wenig personenbezogenen Daten auskommen. 
Dies würde dem Gebot der Datensparsamkeit entspre- 
chen. 

- Wesentliche Grundlage eines sicheren Pseudonymisie- 
rungskonzepts ist die T rennung der die Pseudonymisie- 
rung durchführenden Vertrauens stellen von den übrigen 
Datenverarbeitungsstellen des Systems. Für die T ren- 
nung von Datenaufbereitungs- und Vertrauens stellen ist 
das explizit im Arbeitsentwurf festgelegt, es fehlt aber 
eine entsprechende Regelung für das Verhältnis der Ver- 
trauensstellen zu den übrigen V erarbeitungsstellen. Un- 
geachtet, dass diese T rennung selbstverständlich sein 
sollte, wird angeregt, das auch gesetzlich sicherzustellen. 
Das gleiche gilt für die T rennung der übrigen Stellen 
voneinander. Für die datenverarbeitenden Stellen ist der 
Schutz des Sozialgeheimnisses zu gewährleisten. 

- Die vorgesehene „Arbeitsgemeinschaft auf Bundeseb- 
ene“, deren Mitglieder und das BMG dürfen keine perso- 
nenbezogenen Versicherten- und Leistungserbringerda- 


noch Anlage 13 

ten erhalten. Es ist kein zureichender Grund ersichtlich, 
warum diese auf Bundesebene angesiedelte Arbeitsge- 
meinschaft, deren Aufgabe die Festlegung einheitlicher 
Standards für die Datenvera rbeitung bei den Datenauf- 
bereitungsstellen sein soll, derartige Daten benötigt. Das 
Gleiche gilt für die Vertragspartner auf Bundesebene und 
das Bundesministerium für Gesundheit. Die Daten- 
schutzkonferenz geht davon aus, dass die Übermittlung 
personenbezogener Daten an diese Stellen nicht beab- 
sichtigt ist. Die Entwurfsformulierung ist insoweit aber 
unklar. Ebenso ist sicherzustellen, dass die Arbeitsge- 
meinschaften auf Landesebene über ihren Sicherstel- 
lungsauftrag für die V ertrauensstellen keine Pseudony- 
misierungsparameter erhalten. 

- Die Konferenz sieht keinen zureichenden Grund dafür , 
dass das datenschutzrechtlich begründete V erbot einer 
personenbezogenen Datei beim MDK mit medizinischen 
Daten aufgehoben wird. Die dann entstehende landes- 
weite, einzelne Versicherte aller GKV umfassende Datei 
mit medizinischen Angaben birgt wegen der einfachen 
Auswertbarkeit in Bezug auf einzelne Personen ein ho- 
hes datenschutzrechtliches Risiko, dessen Eingehung da- 
mals wie heute nicht durch die „Medienbruchfreiheit“ zu 
rechtfertigen ist. 

- Die Konferenz hat Bedenken gegen weitgehende Richt- 
linienermächtigungen zugunsten der Spitzenverbände 
der Krankenkassen. Der Gesetzgeber müsste die wesent- 
lichen Inhalte eingreifender Regelungen selbst bestim- 
men. 

Die Konferenz begrüßt nochmals die in dem Arbeitsent- 
wurf zum Ausdruck kommende Bereitschaft zur Zusam- 
menarbeit mit den Datenschutzstellen und bietet ihrerseits 
eine enge Zusammenarbeit für die zukünftigen Verhand- 
lungen an, in denen diverseweitere Unklarheiten und Wi- 
dersprüchlichkeiten des Entwurf auszuräumen sein wer- 
den. 

Sie richtet zu diesem Zweck eine ad-hoc -Arbeitsgruppe 
des AK Gesundheit und Soziales ein, die auch vom BfD 
jeweils für die Verhandlungen einberufen werden kann. 
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Anlage 14 (zu Nr. 8.2.3.4) 


Entschließung zwischen der 61. und 62. Konferenz der Datenschutzbeauftragten des Bundes und der 
Länder: 

Anlasslose DNA-Analyse aller Männer verfassungswidrig 


Die Konferenz der Datenschutzbeauftragten des Bundes und 
der Länder weist entschieden den V orschlag zurück, den 
„genetischen Fingerabdruck“ aller Männer zu erheben und 
rein vorsorglich zu speichern. Die Erhebung personenbezo- 
gener Daten ist auch im Rahmen der Strafverfolgung an 


rechtsstaatliche Grundsätze gebunden. Eine Datenerhebung 
auf Vorrat, die die Hälfte der Bevölkerung als potenzielle 
Straftäter behandelt, ist ve rfassungsrechtlich unzulässig. 
Darüber hinaus erscheint der erwartete Abschreckungseffekt 
äußerst fragwürdig. 
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Anlage 15 (zu Nr. 10.7) 

Entschließung zwischen der 61. und 62. Konferenz der Datenschutzbeauftragten des Bundes und der 
Länder vom 24. April 2001 : 

Veröffentlichung von Insolvenzinformationen im Internet 


Dem Bundestag liegt ein Gesetzentwurf der Bundesregie- 
rung zur Änderung der Insolvenzordnung (Bundestagsdruck- 
sache 14/5680) vor. Danach sollen gerichtliche Entscheidun- 
gen — vor allem in Verbraucherinsolvenzverfahren - künftig 
auch über das Internet veröf fentlicht werden können, um 
Kosten für Bekanntmachungen in Printmedien zu sparen. 

Die Datenschutzbeauftragten des Bundes und der Länder 
weisen daraufhin, dass Infonnationen aus Insolvenzverfah- 
ren, die in das Internet eingestellt sind, durch die Justiz nicht 
räumlich begrenzt werden können. Darüber hinaus ist deren 
Speicherung zeitlich nicht beherrschbar und die Daten kön- 
nen vielfältig ausgewertet werden. Dies kann dazu führen, 
dass Dritte, etwa Auskunfteie n oder W irtschaftsinformati- 
onsdienste, die Daten auch nach Abschluss eines Insolvenz- 
verfahrens speichern und diese über längere Zeit im Internet 
verfügbar sind. Die mit der Insolvenzordnung bezweckte 
Chance der Schuldner auf einen wirtschaftlichen Neubeginn 
würde letztlich auf Dauer beeinträchtigt, wenn sie zeitlebens 
weltweit abrufbar am Schulden-Pranger stehen. 

Der Gesetzgeber muss das Ri siko für die betrof fenen Ver- 
braucherinnen und Verbraucher, aufgrund einer möglichen 
Auswertung justizieller Veröffentlichungen im Internet dau- 
erhaft Einbußen bei der Teilnahme am Wirtschaftsverkehr zu 
erleiden, sorgfältig mit dem Interesse an der beabsichtigten 
Senkung von Bekanntmachungskosten abwägen. Hierbei ist 
auch die gesetzgeberische Wertung zu berücksichtigen, dass 
Personen, für die ein Insolvenzverfahren eröffnet wurde, ge- 
rade nicht in das Schuldnerverzeichnis beim Amtsgericht 
aufgenommen werden. Das Internet bietet im Gegensatz zu 
einem gerichtlichen Verzeichnis letztlich keine Gewähr, die 
ordnungsgemäße Pflege und die Löschung personenbezoge- 
ner Daten sicherzustehen, die für die Betrof fenen von ent- 
scheidender wirtschaftlicher Bedeutung sein können. Die 
Datenschutzbeauftragten appellieren daher an den Gesetzge- 
ber und an die Justizverwaltungen der Länder die aufgezeig- 
ten Risiken insbesondere für Verbraucherinsolvenzen neu zu 
bewerten. Die vorgenannten Überlegungen sind im Gesetz- 
gebungsverfahren bisher nicht in ausreichendem Maße be- 
rücksichtigt worden. Dabei sollten die Erwägungen des Bun- 
desverfassungsgerichts im Beschluss vom 9. März 1988 - 


1 BvL 49/86 — zu einem ver gleichbaren Sachverhalt einbe- 
zogen werden. 

Es erscheint zu einfach, die Infonnationen im Internet in 
gleicher Weise abzubilden wie in der Zeitung. Gerade das 
Internet bietet neue Chancen und Möglichkeiten, Infonnati- 
onen gezielt nur denen zugänglich zu machen, die es angeht. 
Gerade hier sind neue W ege möglich, die mit herkömmli- 
chen Medien nicht erreicht werden konnten. Es gilt deshalb, 
insbesondere zu untersuchen, ob dem Prinzip der Publizität 
bei Veröffentlichungen im Internet nicht ein anderer Stellen- 
wert zukommt und wie gravierende Nachteile für die Be- 
troffenen vermieden werden können. 

Bevor die geplante Änderung des § 9 InsO verabschiedet 

wird, ist daher vorrangig zu klären, wie das Recht auf infor- 
mationeile Selbstbestimmung de r Betroffenen besser ge- 
schützt werden kann. 

Auch in anderen Bereichen wird das Internet bereits genutzt, 
erprobt oder die Nutzung erwogen, um justizielle Informati- 
onen bereitzustellen, z. B. die Handels-, Vereins-, Genossen- 
schafts- und Partnerschaftsregister oder in Zwangsvollstre- 
ckungsverfahren. Inwieweit das Internet als Medium der im 
Ergebnis unbegrenzbaren Infonnationsverarbeitung daten- 
schutzrechtlich angemessen ist und welches Datenprofil ins 
Internet eingestellt werden darf, muss differenziert in Über- 
einstimmung mit dem gesetzlich bezweckten Grad der Pu- 
blizität der jeweiligen Daten entschieden werden. Jede ge- 
setzgeberische Entscheidung für eine Veröffentlichung über 
das Internet sollte aber im Hinblick auf deren besondere Ri- 
siken regeln, dass Veröffentlichungen befristet sind und dass 
spezielle Vorkehrungen getroffen werden, um die Identität 
und die Authentizität zu sichern sowie eine automatische 
Übernahme der Daten zu verhindern (Kopierschutz). 

Sollte sich der Gesetzgeber nach sorgfältiger Abwägung für 
eine Veröffentlichung über das Internet entscheiden, so 
muss er die Auswirkungen der Regelung aufgrund aussage- 
fähiger Berichte der Landesjustizverwaltungen überprüfen. 
Gegenstand dieser Überprüfung muss auch sein, ob die ein- 
getretene Kostensenkung tatsächlich, wie von der Bundesre- 
gierung erwartet, einer größeren Anzahl von Schuldnerin- 
nen und Schuldnern den W eg zur Restschuldbefreiung 
eröffnet hat. 
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Anlage 16 (zu Nr. 11.3.2) 

Entschließung zwischen der 61. und 62. Konferenz der Datenschutzbeauftragten des Bundes und 
der Länder vom 10. Mai 2001 zum Entwurf der Telekommunikations-Überwachungsverordnung 


Das Bundesministerium für Wirtschaft hat Ende Januar 2001 
den Entwurf für eine T elekommunikations-Überwachungs- 
verordnung (TKÜV) vorgelegt, der in Kürze dem Bundeska- 
binett zugeleitet wird. Der Ertwurf basiert auf dem Telekom- 
munikationsgesetz, das den Begriff der Telekommunikation 
weit fasst. Da er technikneutra 1 formuliert ist, werden von 
den Überwachungsmaßnahmen nicht nur die Sprachtelefonie 
und der Telefaxverkehr, sondern auch alle anderen elektroni- 
schen Kommunikationsplattformen und damit insbesondere 
auch das Internet erfasst. 

Sobald ein Intemetprovider ei nen E-Mail-Dienst anbietet, 
muss er technische Einrichtungen zur Umsetzung der Über- 
wachungsmaßnahmen Vorhalten, obwohl die V ermittlung 
des Zugangs zum Internet als anmelde- und zulassungsfreier 
Teledienst nicht zu den T elekommunikationsdiensten ge- 
hört. Diese V erpflichtung der Intemetprovider macht es 
technisch möglich, künftig den gesamten Intemetverkehr, 
also auch das bloße „Surfen“ zu überwachen. Dies ist aber 
nach deutschem Recht so ni cht vorgesehen. Bedenklich ist 
in diesem Zusammenhang, dass das European T elecommu- 
nications Standards Institute (ETSI) gegenwärtig an einem 
technischen Standard arbeitet , der den Lauschangrif f auf 
IP-Netze (Internet) und die Überwachung des gesamten In- 
ternetverkehrs europaweit vereinheitlichen soll. 


Die Datenschutzbeauftragten des Bundes und der Länder 
wenden sich entschieden dagegen, eine technische Infra- 
struktur zu schaffen, die jederzeit eine umfassende Überwa- 
chung des Intemetverkehrs möglich macht. Eine derartige 
Überwachung würde einen unverhältnismäßigen Eingriff in 
das Grundrecht auf Persönlichkeitsschutz darstellen und 
darüber hinaus den im Teledienstedatenschutzgesetz und im 
Mediendienstestaatsvertrag normierten Grundsätzen der 
Datenvermeidung und der Datensparsamkeit zuwiderlaufen. 

Es muss sicher gestellt werden, dass die zunehmende Nut- 
zung von T elediensten zu Alltagsgeschäften auch künftig 
generell überwachungsfrei bleibt. Die bestehenden materiel- 
len Befugnisse zur T elekommunikationsüberwachung im 
Strafprozessrecht, G 10-Gesetz und im Außenwirtschaftsge- 
setz bedürfen zudem insgesam t dringend einer kritischen 
Evaluation und Bereinigung, die die Bundesregierung durch 
eine wissenschaftliche Untersuchung der Effektivität bishe- 
riger Überwachungsanordnungen bereits eingeleitet hat. 

Die Datenschutzbeauftragten des Bundes und der Länder 
fordern ebenso eine Evaluation der T elekommunikations- 
Überwachungsverordnung, die im Lichte der Ergebnisse der 
Untersuchung über die Ef fektivität von T elekommunikati- 
ons-Überwachungsmaßnahmen vorzunehmen ist. 
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Anlage 17 (zu Nr. 2.1) 

Entschließung zwischen der 61. und 62. Konferenz der Datenschutzbeauftragten des Bundes und der 
Länder vom 1. Oktober 2001 zur Terrorismusbekämpfung 


Die Datenschutzbeauftragten des Bundes und der Länder un- 
terstützen mit Nachdruck den Kampf des demokratischen 
Rechtsstaates gegen Terrorismus und organisierte Kriminali- 
tät. Sie sind heute zu einem Sondertref fen in Bonn zusam- 
mengekommen, um die aktuelle Situation nach den T error- 
anschlägen zu erörtern. Im politischen Raum werden 
zahlreiche Forderungen und Vorschläge zur Verbesserung der 
inneren Sicherheit diskutiert, die auch Auswirkungen auf den 
Datenschutz haben. 

Die Datenschutzbeauftragten weisen daraufhin, dass die Si- 
cherheits- und StrafVerfolgungs behörden zur T errorismus- 
bekämpfüng bereits über weitreichende Befugnisse zur Da- 
tenverarbeitung verfügen. So ist z. B. die Rasterfahndung zu 
Strafverfolgungszwecken generell möglich, in den meisten 
Ländern auch zur Gefahrenab wehr durch die Polizei. Das 
Bundesamt für die Anerkennung ausländischer Flüchtlinge 
kann bereits heute Erkenntnisse über terroristische Aktivitä- 
ten an den V erfassungsschutz und die Polizei übermitteln. 
Auch ist eine ef fektive Zusammenarbeit zwischen Polizei 
und Verfassungsschutz durch di e geltende Rechtslage ge- 
währleistet; Vollzugsdefizite sind kein Datenschutzproblem. 
Zu pauschalen Forderungen nach Einschränkung des Bür- 


gerrechts auf Datenschutz besteht deshalb kein Anlass. Die 
Datenschutzbeauftragten betonen, dass Datenschutz nie Tä- 
terschutz war und auch in Zukunft nicht sein wird. 

Die Datenschutzbeauftragten sind zu einem ofenenund kon- 
struktiven Dialog über etwa notwendige Anpassungen an die 
neue Bedrohungslage bereit. Sie erwarten, dass sie rechtzei- 
tig beteiligt werden. Die Da tenschutzbeauftragten warnen 
vor übereilten Maßnahmen, die keinen wirksamen Beitrag 
zur Terrorismusbekämpfung leisten, aber die Freiheitsrechte 
der Bürgerinnen und Bürger einschränken. Sie sprechen sich 
dafür aus, alle neu beschlossenen Eingriffsbefugnisse zu be- 
fristen und tief greifende Eingriffsbefugnisse, damit auch die 
laufende Rasterfahndung, einer eigebnisoffenen Erfolgskon- 
trolle zu unterziehen. 

Bei der künftigen Gesetzgebung sind die grundlegenden 
Rechtsstaatsprinzipien, das Grundrecht der freien Entfaltung 
der Persönlichkeit, das Verhältnismäßigkeitsprinzip, die Un- 
schuldsvermutung und das Gebot besonderer gesetzlicher 
Verwendungsregelungen für sensible Daten selbstverständ- 
lich zu beachten. Diese verfassungsrechtlichen Garantien 
prägen den Rechtsstaat, den wir gemeinsam zu verteidigen 
haben. 
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Anlage 18 (zu Nr. 2.1) 


Entschließung der 62. Konferenz der Datenschutzbeauftragten des Bundes und der Länder 
vom 24. bis 26. Oktober 2001 : 

Freiheits- und Persönlichkeitsrechte dürfen bei der Terrorismusbekämpfung nicht verloren gehen 


Die Konferenz der Datenschutzbeauftragten des Bundes 
und der Länder stellt fest, dass zahlreiche Vorschläge in der 
gegenwärtigen Debatte um notwendige Konsequenzen aus 
den Terroranschlägen vom 11. September 2001 die erforder- 
liche sachliche und verantwortungsbewusste Abwägung mit 
den grundgesetzlich geschützten Freiheits- und Persönlich- 
keitsrechten der Einzelnen vermissen lassen. 

Der Entwurf eines T errorismusbekämpfüngsgesetzes und 
der Antrag der Länder Baden-Württember g, Bayern und 
Hessen im Bundesrat zur wirksamen Bekämpfung des inter- 
nationalen Terrorismus und Extremismus (Bundesratsdruck- 
sache 807/01 ) übertreffen die in der Entschließung der Kon- 
ferenz vom 1. Oktober 2001 geäußerte Befürchtung, dass 
übereilt Maßnahmen er griffen werden sollen, die keinen 
wirksamen Beitrag zur Terrorismusbekämpfüng leisten, aber 
die Freiheitsrechte der Bürgerinnen und Bürger unangemes- 
sen einschränken. 

Gegenwärtig wird ohne Rück sicht auf das grundrechtliche 
Übermaßverbot vorgeschlagen, was technisch möglich er- 
scheint, anstatt zu prüfen, was wirklich geeignet und erfor- 
derlich ist. Außerdem müsste der Frage nachgegangen wer- 
den, ob es nicht in den Geheimdiensten und in der 
Strafverfolgung Vollzugsdefizite gibt. Dabei müsste auch 
untersucht werden, welche Resu ltate die vielen Gesetzes- 
verschärfungen der letzten Jahre gebracht haben. 

Persönlichkeitsrechte haben über ihre grundrechtssichemde 
Wirkung hinaus - mit den W orten des Bundesverfassungs- 
gerichts - auch Bedeutung als „elementare Funktionsbedin- 
gung eines auf Handlungs- und Mitwirkungsfähigkeit seiner 
Bürger begründeten freiheitlich demokratischen Gemeinwe- 
sens“. 

Die Konferenz der Datenschutzbeauftragten des Bundes 
und der Länder appelliert daher sehr eindringlich an alle Be- 
teiligten, nicht Persönlichkeitsrechte vorschnell und ohne 
die gebotene sorgsam abwägende Prüfung über die bereits 
bestehenden Eingriffsmöglichkeiten hinaus dauerhaft einzu- 
schränken und so den Ausnahmezustand zur Norm zu erhe- 
ben. 

Alle neu erwogenen Maßnahmen müssen sich daran messen 
lassen, ob sie für eine wirkungsvolle Bekämpfung des T er- 
rorismus wirklich zielführend und erforderlich sind und ob 
sie den Verfassungsgrundsatz der Verhältnismäßigkeit ein- 
halten. Einseitiges Streben nach einer umfassenden Sicher- 
heit darf nicht den bisherigen gesellschaftlichen Konsens 
über die wertsetzende Bedeutung bür gerlicher Freiheits- 
und Persönlichkeitsrechte so überlagern, dass es in unserem 
Land zu einer langwirkenden Verschiebung zugunsten staat- 
licher Überwachung und zulasten freier und unbeobachteter 


Aktion, Bewegung und Kommunikation der Bür gerinnen 
und Bürger kommt. 

Wesentliche im BMl-Entwurf eines T errorismusbekämp- 
füngsgesetzes enthaltene Eingrif fsmöglichkeiten führen 
zwangsläufig dazu, dass eine Vielzahl völlig unbescholtener 
Einzelpersonen zentral erfasst oder verdeckt in Datenerhe- 
bungen einbezogen werden, ohne dass eine konkrete V er- 
dachts- oder Gefahrenlage verl angt wird. Zugleich werden 
Auskunftspflichten und Ermittlungskompetenzen in einer 
Weise ausgedehnt, dass Eingrenzungen verloren gehen, die 
aus rechtsstaatlichen Gründen unverzichtbar sind. 

Der Verfassungsschutz soll künftig zur Erfüllung aller sei- 
ner Aufgaben von den Banken die Kontenbewegungen, von 
den Luftverkehrsuntemehmen alle Reisedaten und von den 
Post- und Telekommunikationsunternehmen alle Informati- 
onen darüber erhalten können, wer von wem Post erhalten 
und wann mit wem telefoniert hat. All dies soll ohne Wissen 
der Betroffenen erfolgen und bis zu 15 Jahren gespeichert 
werden. 

Die geplante Befugnis des BKA, Vorermittlungen ohne An- 
fangsverdacht im Sinne der StPO zu ergreifen, führt zu Ein- 
griffen in das Persönlichkeitsrecht, die weit über das verfas- 
sungsrechtlich Zulässige hinausreichen und das tradierte 
System der Strafverfolgung sp rengen. Dies verschiebt die 
bisher klaren Grenzen zwischen BKA und V erfassungs- 
schutz sowie zwischen Gefahrenabwehr und Strafverfol- 
gung. Ohne jeden Anfangsverdacht soll das BKA künftig 
Daten über nicht näher eingegrenzte Personenkreise erhe- 
ben dürfen. Dies kann im Prin zip jede Bürgerin und jeden 
Bürger betreffen, ohne dass sie sich auf die Schutzmecha- 
nismen der Strafprozessordnung verlassen können. 

Auch die V orschläge der Länder enthalten unvertretbare 
Einschränkungen von grundgesetzlich geschützten Rechts- 
positionen. So soll die Gefahrenschwelle für den verdeckten 
Einsatz technischer Mittel in W ohnungen übermäßig abge- 
senkt werden. Telekommunikationsuntemehmen und Inter- 
netprovider sollen gesetzlich verpflichtet werden, V erbin- 
dungsdaten (zum Beispiel über den Besuch einer W ebsite 
oder einer Newsgroup) länger zu speichern, als diese zu Ab- 
rechnungszwecken benötigt werden, um sie Sicherheitsbe- 
hörden zur Verfügung zu stellen. 

Die Datenschutzbeauftragten des Bundes und der Länder for- 
dern, dass neue Eingriffsbefugnisse nicht pauschal ausgerich- 
tet, sondern zielgenau auf konkrete Gefährdungssituationen 
im terroristischen Bereich zugeschnitten und von vornherein 
befristet werden. Eine unabhängige Evaluierung nach festge- 
legten Fristen ist unerlässlichem Geeignetheit und Erforder- 
lichkeit für die Zukunft sachgerecht beurteilen zu können. 
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Anlage 19 (zu Nrn. 8.1 und 28.5) 

Entschließung der 62. Konferenz der Datenschutzbeauftragten des Bundes und der Länder 
vom 24. bis 26. Oktober 2001 : 

Gesetzliche Regelung von genetischen Untersuchungen 


Die Konferenz der Datenschutzbeauftragten des Bundes und 
der Länder konkretisiert ihre Forderungen an Bundestag und 
Bundesrat, genetische Untersuchungen am Menschen gesetz- 
lich zu regeln. Geboten sindbesondere Regelungen für gene- 
tische Untersuchungen zu medizinischen Zwecken, zur Klä- 
rung von Identität und Abstammung, im Zusammenhang mit 
Arbeits- und V ersicherungsverhältnissen sowie zu For- 
schungszwecken. Außer dem „genetischen Fingerabdruck“ 
für Zwecke der Strafverfolgung - in der Strafprozessordnung 
bereits normiert - sind typische Anwendungsfelder für gene- 
tische Untersuchungen zu regeln. \6n besonderer Bedeutung 
sind das Informations- und Entscheidungsrecht der betroffe- 
nen Personen. Die Kemanliegen der Datenschutzbeauftrag- 
ten sind: 

- Stärkung des Selbstbestimmungsrechts durch einen 
grundsätzlichen Einwilligungsvorbehalt für die Durch- 
führung genetischer Untersuchungen; 

- Information und T ransparenz für die betrof fene Person 
durch Umschreibung des notwendigen Aufklärungsum- 
fangs; 

- Qualität und Sicherheit genetischer T ests durch Arzt- 
und Zulassungsvorbehalte; 

- Schutz von Ungeborenen, Minderjährigen und nicht ein- 
sichtsfähigen Personen durch abgestufte Beschränkung 
zugelassener Untersuchungsziele; 

- Gewährleistung des Rechts auf Nichtwissen durch diffe- 
renzierte Entscheidungs- und Offenbarungsoptionen; 

- Verhinderung heimlicher Gentests durch das Gebot der 
Probennahme direkt in ärztlicher Praxis oder Labor; 

- Verhinderung von missbräuchlicher Nutzung genetischer 
Erkenntnisse im Arbeitsleben und im Versicherungsver- 


hältnis durch ein grundsätzliches V erbot, Gentests oder 
Testergebnisse zu fordern oder entgegen zu nehmen; 

- Selbstbestimmung der Betroffenen auch im Forschungs- 
bereich durch einen grundsätzlichen Einwilligungsvor- 
behalt bei einzelnen Forschungsprojekten und Proben- 
und Gendatenbanken; 

- Sicherung zuverlässiger Pseudonymisierungsverfahren 
bei Proben- und Gendatenbanken durch externe Daten- 
treuhänderschaft; 

- Hilfe für die Betrof fenen durch die Pflicht, im Rahmen 
der Forschung individuell bedeutsame Untersuchungser- 
gebnisse mitzuteilen; 

- Absicherung der Regelungen durch die Einführung von 
Straftatbeständen. 

Neben diesen bereichsspezifischen Bestimmungen zu den 
verschiedenen Zwecken genetischer Untersuchungen for- 
dert die Konferenz der Datenschutzbeauftragten eine grund- 
legende Strafnorm im Strafg esetzbuch, um Gentests ohne 
gesetzliche Ermächtigung oder ohne die grundsätzlich nur 
für Zwecke der medizinischen Behandlung oder Forschung 
wirksame Einwilligung der betroffenen Person zu unterbin- 
den. 

Die Datenschutzbeauftragten des Bundes und der Länder 
verstehen ihre Vorschläge als Anregungen zu anstehenden 
Gesetzesinitiativen und zur gesellschaftspolitischen Diskus- 
sion. 

Von einem Abdruck der Anlage zur Entschließung wurde 
wegen ihres Umfangs abgesehen. Sie ist unter 
www.bfd.bund.de abrufbar. 
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Anlage 20 (zu Nr. 8.9) 


Entschließung der 62. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 24. bis 
26. Oktober 2001: 

EUROJUST - Vorläufer einer künftigen europäischen Staatsanwaltschaft? 


Der Europäische Rat hat im Herbst 1999 in ’timpcrc die Ein- 
richtung einer gemeinsamen Stelle EUROJUST zur justiziel- 
len Zusammenarbeit beschlossen. EUROJUST soll zur Be- 
kämpfung der schweren or ganisierten Kriminalität eine 
sachgerechte Koordinierung der nationalen Staatsanwalt- 
schaften erleichtern und die strafrechtlichen Ermittlungen 
unterstützen sowie die Erle digung von Rechtshilfeersuchen 
vereinfachen. Zusätzlich beschloss der Rat im Dezember 

2000 die Einrichtung einer vorläufigen Stelle zur justiziellen 
Zusammenarbeit, PRO-EUROJUST genannt, die am 1 . März 

2001 ihre Arbeit aufgenommen hat. Diese Stelle soll bis zur 
Einrichtung von EUROJUST die Zusammenarbeit der Er- 
mittlungsbehörden auf dem Gebiet der Bekämpfung der 
schweren grenzüberschreitenden Kriminalität verbessern 
und die Koordinierung von Ermittlungen anregen und ver- 
stärken. Ein Beschluss des Rates über die Einrichtung von 
EUROJUST soll bis Ende des Jahres 2001 verabschiedet wer- 
den. 

Die Aufgabenstellung von EUROJUST führt möglicher- 
weise dazu, dass eine eu ropäische Großbehörde heran- 
wächst, die Daten nicht nur über verdächtige Personen, son- 
dern auch über Opfer und Zeugen sammeln soll, und damit 
zwangsläufig tief greifende Eingrif fe in Bürgerrechte vor- 
nehmen würde, ln diesem Falle käme als Grundlage für 
EUROJUST nur eine Konvention in Betracht, da für künf- 
tige Grundrechtseingriffe durch EUROJUST eine demokra- 
tische Legitimation notwendig wäre. 

Mit Blick auf die sensiblen personenbezogenen Daten, die 
von EUROJUST erhoben, verarbeitet und genutzt werden 
sollen, und unter Berücksichtigung der eigenen Rechtsper- 
sönlichkeit von EUROJUST sind umfassende Datenschutz- 
vorschriften erforderlich. Diese müssen sowohl Regelungen 
zur Verarbeitung, Speicherung, Nutzung, Berichtigung, Lö- 
schung als auch zum Auskunftsanspruch des Betrof fenen 
sowie zu einer Kontrollinstanz von EUROJUST enthalten. 

Nach Auffassung der Datenschutzbeauftragten des Bundes 
und der Länder sind folgende datenschutzrechtliche Anfor- 
derungen an EUROJUST zu stellen: 

Informationsaustausch mit Partnern 

Der Infonnationsaustausch mit Partnern sollte EUROJUST 
dann erlaubt sein, wenn er zur Erfüllung seiner Aufgaben 
erforderlich ist. Bei Weiterleitung dieser Daten an Drittstaa- 
ten und -stellen ist die Zustimmung des Mitgliedstaates ein- 
zuholen, von dem diese Daten geliefert wurden. Sind perso- 
nenbezogene Daten betrof fen, so muss grundsätzlich eine 
Übereinkunft zwischen EUROJUST und der Partnerstelle 
über den Datenschutzstandard getroffen werden. Nur in ab- 
soluten Ausnahmefähen, die einer restriktiven Regelung be- 
dürfen, sollte eine Datenübermittlung auch bei Fehlen einer 
solchen Vereinbarung zulässig sein. 


Verarbeitung personenbezogener Daten 

Der Katalog der personenbezogenen Daten, die automati- 
siert verarbeitet werden dürfen, ist streng am Maßstab der 
Erforderlichkeit und an den Aufgaben von EUROJUST zu 
orientieren. Eine zusätzliche Öf fnungsklausel, die letztlich 
die Speicherung aller Daten zulassen würde, ist abzulehnen. 
Eine Verarbeitung der Daten von Opfern und Zeugen darf, 
wenn überhaupt erforderlich, nur unter einschränkenden Be- 
dingungen vorgenommen werden. 

Ermittlungsindex und Dateien 

Der Ermittlungsindex sollte so ausgestaltet sein, dass es sich 
um eine reine V organgsverwaltung handelt. Sofern zusätz- 
lich Arbeitsdateien geführt werden, sind sie genau zu be- 
zeichnen. 

Auskunftsrecht 

Wenn EUROJUST Daten verarbeitet, die ursprünglich von 
einem Mitgliedstaat geliefert wurden, handelt es sich im Er- 
gebnis um Daten von EUROJUST . Insofern ist ein eigener 
Auskunftsanspruch von Betroffenen gegenüber EUROJUST 
unverzichtbar. Für den Fall, dass im Strafverfolgungsinte- 
resse oder aus sonstigen Gründen des Gemeinwohls von ei- 
ner Auskunft an den Betrof fenen abgesehen werden soll, 
muss eine Abwägung mit den Interessen des Betroffenen an 
einer Auskunftserteilung vorangegangen sein. 

Änderung, Berichtigung und Löschung 

Es sollte auch eine Regelung zur Sperrung von Daten aufge- 
nommen werden, die dazu führt, dass Daten unter bestimm- 
ten Voraussetzungen nicht gelöscht, sondern lediglich ge- 
sperrt werden. 

Speicherungsfristen 

Sofern Daten nach Ablauf bestimmter sonstiger Fristen zu 
löschen sind, z. B. nach Ablauf der Verjährungsfrist einzel- 
ner Mitgliedstaaten, sollte sich die Speicherungsfrist bei 
EUROJUST nach der Frist des Mitgliedstaates richten, in 
dem sie am kürzesten ist, um eine mögliche Umgehung na- 
tionaler Löschungsfristen zu vermeiden. Die Prüf fristen 
sollten zwei Jahre betragen und auch für Folgeprüfüngen 
nicht länger sein. 

Datensicherheit 

Erforderlich sind konkrete Vorschriften zur Datensicherheit. 
Um den Text des Beschlusses nicht zu überfrachten, könnte 
eine Regelung entsprechend Artikel 22 der V erordnung EG 
45/2001 oder § 9 BDSG vorgesehen werden. 
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Gemeinsame Kontrollinstanz 

Die Erforderlichkeit einer gemeinsamen Kontrollinstanz für 
EUROJUST muss außer Frage stehen. Die Unabhängigkeit 
dieser gemeinsamen Kontrollinstanz ist bereits durch die 
personelle Zusammensetzung zu gewährleisten. Sowohl für 
die EUROJUST-Mitglieder als auch das Kollegium müssen 
die Entscheidungen der gemein samen Kontrollinstanz bin- 
dender Charakter haben. 

Rechtsschutz 

Dem Betroffenen ist ein angemessener Rechtsschutz gegen- 
über EUROJUST zu gewähren. Es sollte festgelegt werden, 
welche nationale oder supranationale Gerichtsbarkeit für 


noch Anlage 20 

Klagen auf Auskunft, Löschung, Berichtigung und Scha- 
densersatz zuständig ist. 

Rechtsetzungsbedarf 

Zur Erfüllung seiner Aufgaben muss EUROJUST Aus- 
künfte über strafrechtliche Ermittlungsverfahren einholen. 
Nach geltendem Recht (§ 474 StPO) können die Ermitt- 
lungsbehörden der Bundesrepublik Deutschland derartigen 
Ersuchen nicht stattgeben. 

Darüber hinaus bedarf der Zugrif f des deutschen 
EUROJUST-Mitglieds auf das Bundeszentralregister und 
auf das Zentrale Staatsanwalt schaftliche Verfahrensregister 
einer eindeutigen gesetzlichen Grundlage. 
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Anlage 21 (zu Nr. 28.3) 


Entschließung der 62. Konferenz der Datenschutzbeauftragten des Bundes und der Länder 
vom 24. bis 26. Oktober 2001 : 

Datenschutzrechtliche Anforderungen an den „Arzneimittelpass“ (Medikamentenchipkarte) 


Vor dem Hintergrund der Lipobay-Diskussion hat das Bun- 
desministerium für Gesundheit die Einführung eines „Arz- 
neimittelpasses“ in Form einer (elektronisch nutzbaren) Me- 
dikamentenchipkarte befürwortet; auf der Karte sollen alle 
ärztlichen Verordnungen verzeichnet werden. Damit soll 
eine größere Transparenz der Arzneimittelverordnungen er- 
reicht werden. Bisher ist nich t ansatzweise belegt, dass die 
bekannt gewordenen Gefahren für die Patientinnen und Pa- 
tienten dadurch entstanden sind, dass verschiedene Ärztin- 
nen und Ärzte ohne Kenntnis voneinander unverträgliche 
Medikamente verordnet hätten. Deswegen ist auch nicht er- 
sichtlich, dass die aufgetretenen Probleme mit einem Arz- 
neimittelpass hätten verhindert werden können. 

Aus datenschutzrechtlicher Sicht bestehen erhebliche Be- 
denken gegen eine Medikamentenchipkarte als Pflichtkarte. 
Die Datenschutzbeauftragten begrüßen es daher ausdrück- 
lich, dass der Gedanke einer Pflichtkarte fallen gelassen 
wurde. Die Patientinnen und Patienten würden sonst recht- 
lich oder faktisch gezwungen, die ihnen verordneten Medi- 
kamente und damit zumeist auch ihre Erkrankung bei jedem 
Arzt- und/oder Apothekenbesuch ohne ihren W illen zu of- 
fenbaren. Dies würde eine wesentliche Einschränkung des 
Arztgeheimnisses bewirken, das auch gegenüber anderen 
Ärztinnen und Ärzten gilt. Zudem würde sich dadurch das 
Vertrauensverhältnis, das für die Behandlung und für eine 
funktionierende Gesundheitsfürsorge insgesamt unabding- 
bar ist, grundlegend veränder n. Darüber hinaus wäre das 
Einholen einer unbeeinflussten Zweitmeinung nahezu aus- 
geschlossen. 

Die freie und unbeeinflusste Entscheidung der Patientinnen 
und Patienten über Einsatz und Verwendung der Karte muss 
gewährleistet werden (Grundsatz der Freiwilligkeit). 

Die Datenschutzbeauftragten des Bundes und der Länder 
haben bereits auf ihrer 47. Konferenz im März 1994 und auf 
ihrer 50. Konferenz im Nove mber 1995 zum freiwilligen 
Einsatz von Chipkarten im Gesundheitswesen Stellung ge- 
nommen; deren Zulässigkeit wird dort von verschiedenen 
Bedingungen zur Sicherung des Persönlichkeitsrechts der 
Patientinnen und Patienten abhängig gemacht. Grundle- 
gende Voraussetzung ist vor allem die freie Entscheidung 


der Betroffenen (auch als Versicherte). Sie müssen entschei- 
den können, 

- ob ihre Daten auf einer Chipkalte gespeichert werden, 

- welche ihrer Gesundheitsdaten auf die Karte aufgenom- 
men werden, 

- welche ihrer Daten auf der Karte wieder gelöscht wer- 
den, 

- ob sie die Karte bei einem Arzt- oder Apothekenbesuch 
vorlegen und 

- welche ihrer Daten sie im Einzelfall zugänglich machen 
(die Technik muss eine partielle Freigabe ermöglichen). 

Die Verantwortung für die Wahrung der Arzneimittelsicher- 
heit tragen grundsätzlich die Ärztinnen und Ärzte sowie die 
Apothekerinnen und Apotheker. Sie darf nicht auf die Be- 
troffenen abgewälzt werden. Dies gilt auch, wenn sie von 
dem „Arzneimittelpass“ keinen Gebrauch machen. 

Der Chipkarteneinsatz darf nicht zur Entstehung neuer zen- 
traler Datensammlungen über Patientinnen und Patienten 
führen. 

Datenschutzrechtlich problematisch wäre es, den , Arznei- 
mittelpass“ auf der Krankenve rsichertenkarte gemäß § 291 
SGB V zu implementieren. Eine solche Erweiterung wäre 
allenfalls vertretbar, wenn die „Funktion Krankenversicher- 
tenkarte“ von der „Funktion Arzn eimittelpass“ informati- 
onstechnisch getrennt würde, sodass die Patientinnen oder 
Patienten bei einem Arzt- oder Apothekenbesuch nicht ge- 
zwungen werden, ihre gesamten Gesundheitsdaten unge- 
wollt zu of fenbaren. Ihre Entscheidungsfreiheit, wem ge- 
genüber sie welche Gesundheitsdaten of fenlegen, müsste 
also durch die technische Ausgestaltung der Karte gewähr- 
leistet sein. 

Die Betroffenen müssen ferner das Recht und die Möglich- 
keit haben, ihre auf der Chipkalte gespeicherten Daten voll- 
ständig zu lesen. 

Die Verwendung der Karte außerhalb des medizinischen 
Bereichs, z. B. durch Arbeitgeberinnen und Arbeitgeber 
oder Versicherungen, muss gesetzlich verboten und sanktio- 
niert werden. 
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Anlage 22 (zu Nr. 10.2) 

Entschließung der 63. Konferenz der Datenschutzbeauftragten des Bundes und der Länder 
vom 7. bis 8. März 2002: 

Neues Abrufverfahren bei den Kreditinstituten 


Nach der Novelle des Gesetzes über das Kreditwesen soll 
die zuständige Bundesanstalt die von den Kreditinstituten 
vorzuhaltenden Daten, wer welche Konten und Depots hat, 
ohne Kenntnis der Kundinnen und Kunden zur eigenen Auf- 
gabenerfüllung oder zugunsten anderer öf fentlicher Stellen 
abrufen können. Dies ist ein neuer Eingrif f in die V ertrau- 
lichkeit der Bankbeziehungen. 

Dieser Eingriff in die Vertraulichkeit der Bankbeziehungen 
muss gegenüber den Kundinnen und Kunden zumindest 
durch eine aussagekräftige Infonnation transparent gemacht 
werden. Die Konferenz fordert daher, dass zugleich mit der 
Einführung dieses Abrufverfahrens eine V erpflichtung der 
Kreditinstitute zur generellen Infonnation der Kundinnen 


und Kunden vorgesehen wird und diese die Kenntnisnahme 
schriftlich bestätigen. Dadurch soll zugleich eine ef fektive 
Wahrnehmung des Auskunftsrechts der Kundinnen und 
Kunden gewährleistet werden. 

Die Erweiterung der Pflichten de r Kreditinstitute, Konten- 
bewegungen auf die Einhaltung gesetzlicher Bestimmungen 
mithilfe von EDV -Programmen zu überprüfen, verpflichtet 
die Kreditinstitute außerdem zu einer entsprechend intensi- 
ven Kontenüberwachung (so genanntes „know your Custo- 
mer principle“). Die Konferenz der Datenschutzbeauftrag- 
ten des Bundes und der Lände r fordert, dass die 
Überprüfung in einer Weise stattfindet, die ein datenschutz- 
konformes Vorgehen sicherstellt. 
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Anlage 23 (zu Nr. 11.3.4.1) 


Entschließung zwischen der 63. und 64. Konferenz der Datenschutzbeauftragten des Bundes und der 
Länder vom 24. Mai 2002: 

Geplanter Identifikationszwang in der Telekommunikation 


Das Bundesministerium für W irtschaft und Technologie hat 
einen Entwurf zur Änderung des Telekommunikationsgeset- 
zes veröffentlicht. Der Entwurf hat das Ziel, jeden Anbieter, 
der geschäftsmäßig T elekommunikationsdienste erbringt, 
dazu zu verpflichten, Name n, Anschriften, Geburtsdaten 
und Rufnummern seiner Kundinnen und Kunden zu erhe- 
ben. Die Kundinnen und Kunden werden verpflichtet, dafür 
ihren Personalausweis vorzulegen, dessen Nummer eben- 
falls gespeichert werden soll. Die beabsichtigten Änderun- 
gen sollen in erster Linie dazu fuhren, auch Nutzerinnen und 
Nutzer von Prepaid-Karten (also die Erwerberinnen und Er- 
werber von SIM-Karten ohne V ertrag) im Mobilfunk erfas- 
sen zu können. Die erhobenen Daten sollen allein dem 
Zweck dienen, den Sicherheitsbehörden zum jederzeitigen 
Online- Abruf über die Regulierungsbehörde für T elekom- 
munikation und Post bereitzustehen. Im gleichen Zuge sol- 
len die Zugrif fsmöglichkeiten der Sicherheitsbehörden auf 
diese Daten dadurch erheblich erweitert werden, indem auf 
die Kundendateien nach abstrakten Merkmalen zugegrif fen 
werden kann. 

Die Datenschutzbeauftragten des Bundes und der Länder 
lehnen dieses Vorhaben ab. Unter der unscheinbaren Über- 
schrift „Schließen von Regelungslücken“ stehen grundle- 
gende Prinzipien des Datenschutzes zur Disposition. Kritik- 
würdig an dem geplanten Gesetz sind insbesondere die 
folgenden Punkte: 

- Der geplante Grundrechtseingriff ist nicht erforderlich, 
um die Ermittlungstätigkeit der Sicherheitsbehörden zu 
erleichtern. Seine Eignung ist zweifelhaft: Auch die Ge- 
setze sänderung wird nicht verhindern, dass Straftäterin- 
nen und Straftäter bewusst und gezielt in kurzen Zeitab- 
ständen neue Prepaid-Karten erwerben, Strohleute zum 
Erwerb einsetzen, die Karten häufig — teilweise nach je- 
dem Telefonat — wechseln oder die Karten untereinander 
tauschen, ln der Begründung wird nicht plausibel dar ge- 
legt, dass mit dem geltenden Recht die Ermittlungstätig- 
keit tatsächlich behindert und durch die geplante Ände- 
rung erleichtert wird. Derzeit laufende 
Forschungsvorhaben beziehen diese Frage nicht mit ein. 

- Der Entwurf widerspricht auch dem in den Datenschutz- 
richtlinien der Europäischen Union verankerten Grund- 
satz, dass Unternehmen nur solche personenbezogenen 
Daten verarbeiten dürfen, die sie selbst zur Erbringung 
einer bestimmten Dienstleistung benötigen. 

- Die Anbieter würden eine Reihe von Daten auf V orrat 
speichern müssen, die sie selbst für den Vertrag mit ihren 
Kunden nicht benötigen. Die ganz überwiegende Zahl 
der Nutzerinnen und Nutzer von Prepaid-Karten, darun- 
ter eine große Zahl Minderjähriger, würde registriert, ob- 


wohl sie sich völlig rechtmäßig verhalten und ihre Daten 
demzufolge für die Ermittlungs tätigkeit der Strafverfol- 
gungsbehörden nicht benötig t werden. Das Anhäufen 
von sinn- und nutzlosen Datenhalden wäre die Folge. 

- Die gesetzliche Verpflichtung, sich an dem Ziel von Da- 
tenvermeidung und Datensparsamkeit auszurichten, 
würde konterkariert. Gerade die Prepaid-Karten sind ein 
gutes praktisches Beispiel für den Einsatz datenschutz- 
freundlicher Technologien, da sie anonymes Kommuni- 
zieren auf unkomplizierte W eise ermöglichen. Die Nut- 
zung dieser Angebote darf deshalb nicht von der 
Speicherung von Bestandsdaten abhängig gemacht wer- 
den. 

- Mit der Verpflichtung, den Personalausweis vorzulegen, 
würden die Anbieter zusätzliche Infonnationen über die 
Nutzerinnen und Nutzer erha lten, die sie nicht benöti- 
gen, z. B. die Nationalität, Größe oder Augenfarbe. Die 
vorgesehene Pflicht, auch die Personalausweisnummern 
zu registrieren, darf auch künftig keinesfalls dazu füh- 
ren, dass die Ausweisnummern den Sicherheitsbehörden 
direkt zum Abruf bereit gestellt werden und sie damit 
diese Daten auch für die V erknüpfung mit anderen Da- 
tenbeständen verwenden können. 

— Auch Kr ankenhäuser, Hotels, Schulen und Hochschulen 
sowie Unternehmen und Behörden, die ihren Mitarbeite- 
rinnen und Mitarbeitern das pr ivate Telefonieren gestat- 
ten, sollen verpflichtet werden, die Personalausweis- 
nummem der Nutzerinnen und Nutzer zu registrieren. 

— Die Befugnis, Kundendateien mit unvollständigen oder 
ähnlichen Suchbegriffen abzufragen, würde den Sicher- 
heitsbehörden eine V ielzahl personenbezogener Daten 
unbeteiligter Dritter zugänglich machen, ohne dass diese 
Daten für ihre Aufgaben erforderlich sind. Die notwen- 
dige strikte Beschränkung dieser weit reichenden Abfra- 
gebefügnis durch Rechtsverordnung setzt voraus, dass 
ein entsprechender V erordnungsentwurf bei der Bera- 
tung des Gesetzes vorliegt. 

Der Formulierungsvorschlag des Bundeswirtschaftsministe- 
riums lässt eine Auseinandersetzung mit dem Recht auf in- 
formationelle Selbstbestimmung der Kundinnen und Kun- 
den der T elekommunikationsuntemehmen weitgehend 
vermissen. 

Die Datenschutzbeauftragten des Bundes und der Länder 
fordern die Bundesregierung und den Gesetzgeber auf, auf 
die geplante Änderung des T elekommunikationsgesetzes zu 
verzichten und vor weiteren Änderungen die bestehenden 
Befugnisse der Sicherheitsbehörden durch unabhängige 
Stellen evaluieren zu lassen. 
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Anlage 24 (zu Nr. 11.3.3) 

Entschließung der 64. Konferenz der Datenschutzbeauftragten des Bundes und der Länder 
vom 24. bis 25. Oktober 2002 zu: 

Systematische verdachtslose Datenspeicherung in der Telekommunikation und im Internet 


Gegenwärtig werden sowohl auf nationaler als auch auf eu- 
ropäischer Ebene Vorschläge erörtert, die den Datenschutz 
im Bereich der Telekommunikation und der Intemetnutzung 
und insbesondere den Schutz des Telekommunikationsge- 
heimnisses grundlegend infrage stellen. 

Geplant ist, alle Anbieter von T elekommunikations- und 
Multimediadiensten zur verdachtslosen Speicherung sämtli- 
cher Bestands-, Verbindungs-, Nutzungs- und Abrechnungs- 
daten auf Vorrat für Mindestfristen von einem Jahr und 
mehr zu verpflichten, auch wenn sie für die Geschäftszwe- 
cke der Anbieter nicht (mehr) notwendig sind. Das so ent- 
stehende umfassende Datenreservoir soll dem Zugrif f der 
Strafverfolgungsbehörden, der Polizei und des Verfassungs- 
schutzes bei möglichen Anlässen in der Zukunft unterlie- 
gen. Auch auf europäischer Ebene werden im Rahmen der 
Zusammenarbeit der Mitgliedstaaten in den Bereichen „Jus- 
tiz und Inneres“ entsprechende Maßnahmen - allerdings un- 
ter weit gehendem Ausschluss der Öf fentlichkeit - disku- 
tiert. 

Die Datenschutzbeauftragten des Bundes und der Länder tre- 
ten diesen Überlegungen mit Entschiedenheit entgegen. Sie 
haben schon mehrfach die Bedeutung des Telekommunikati- 
onsgeheimnisses als unabdingbare V oraussetzung für eine 
freiheitliche demokratische Kommunikationsgesellschaft 
hervorgehoben. Immer mehr me nschliche Lebensäußerun- 
gen finden heute in elektronischen Netzen statt. Sie würden 
bei einer Verwirklichung der genannten Pläne einem ungleich 
höheren Überwachungsdruck ausgesetzt als ver gleichbare 
Lebensäußerungen in der realen Welt. Bisher muss niemand 
bei der Aufgabe eines einfachen Briefes im Postamt seinen 


Personalausweis vorlegen oder in einer öffentlichen Biblio- 
thek registrieren lassen, welche Seite er in welchem Buch auf- 
schlägt. Eine ver gleichbar umfassende Kontrolle entspre- 
chender Online -Aktivitäten (E-Mail- Versand, Nutzung des 
WorldWideWeb), wie sie jetzt erwogen wird, ist ebenso we- 
nig hinnehmbar. 

Zudem hat der Gesetzgeber erst vor kurzem die Befugnisse 
der Strafverfolgungsbehörden erneut deutlich erweitert. Die 
praktischen Erfahrungen mit diesen Regelungen sind von 
unabhängiger Seite zu evaluieren, bevor weiter gehende Be- 
fugnisse diskutiert werden. 

Die Konferenz der europäischen Datenschutzbeauftragten 
hat in ihrer Erklärung vom 1 1 . September 2002 betont, dass 
eine flächendeckende anlassunabhängige Speicherung sämt- 
licher Daten, die bei der zunehmenden Nutzung von öf fent- 
lichen Kommunikationsnetzen entstehen, unverhältnismäßig 
und mit dem Menschenrecht auf Achtung des Privatlebens 
unvereinbar wäre. Auch in den Vereinigten Staaten sind ver- 
gleichbare Maßnahmen nicht vorgesehen. 

Mit dem deutschen Verfassungsrecht ist eine verdachtslose 
routinemäßige Speicherung sämtlicher bei der Nutzung von 
Kommunikationsnetzen anfallender Daten auf V orrat nicht 
zu vereinbaren. Auch die Rechtsprechung des Europäischen 
Gerichtshofs lässt eine solche Vorratsspeicherung aus Grün- 
den bloßer Nützlichkeit nicht zu. 

Die Konferenz fordert die Bundesregierung deshalb auf, für 
mehr Transparenz der Beratungen auf europäischer Regie- 
rungsebene einzutreten und insbesondere einer Regelung 
zur flächendeckenden Vorratsdatenspeicherung nicht zuzu- 
stimmen. 
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Beschluss der 64. Konferenz der Datenschutzbeauftragten des Bundes und der Länder 
am 24. und 25. Oktober 2002 zum 

Umgang mit personenbezogenen Daten in Sachakten des Verfassungsschutzes 


Die Konferenz der Datenschutzbeauftragten des Bundes 
und der Länder weist darauf hin, dass bei den von V erfas- 
sungsschutzämtern geführten Personen- und Sachakten Un- 
terschiede bei der Löschung bzw . Vernichtung auftreten. 
Während Personenakten nach Ablauf der gesetzlichen Fris- 
ten - unter Beachtung archivrechtlicher Regelungen — regel- 
mäßig gelöscht oder vernichtet werden, geschieht dies bei 
Sachakten, die in der Regel auch personenbezogene Daten 


enthalten, oftmals nicht. Dies darf aber nicht dazu führen, 
dass diese Daten - anders als die Daten in Personenakten - 
noch weiter verwandt werden dürfen. 

Die Konferenz fordert, dass in Sachakten personenbezogene 
Angaben, die nicht mehr erforderlich sind, auch in Ländern 
ohne gesetzliches Löschungsgebot zumindest zu sperren 
sind. 
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Abfrage zur Umsetzung des Bundesdatenschutzgesetzes (BDSG) 


Behörde 


Name/ Bezeichnung: 


Straße 


PLZ/Ort 


Telefon/Telefax 


E-Mail-Adresse 


Internet-Adresse/URL 



Datenschutzbeauftragte(r) 


Name 


Telefon-Nr. 


E-Mail-Adresse 


Name Abwesenheitsvertretung 


Telefon-Nr. 


E-Mail-Adresse 



Fragen: (Zutreffendes ggfls. durch Anklicken ankreuzen) 


1. Die/der Datenschutzbeauf- 
tragte ist der Leiterin/dem 
Leiter der Behörde unmittel- 
bar unterstellt ? 

ja 

nein 

2. wenn ja: 



2.1 die Funktion ist als Stabs- 



stelle eingerichtet ? 

ja 

nein 

2.2 die Unterstellung unter die 
Leitung ist in anderer Weise 
sichergestellt, z. B. durch 
Ansiedelung im Referat bzw. 
der Organisationseinheit mit 
direkter Unterstellung unter 
die Leitung in der Funktion 
als Datenschutzbeauftrag- 
te(r)? 

ja 

nein 
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3. Die unmittelbare Unterstel- 
lung unter die Leitung ist im 
Organigramm der Behörde 
kenntlich ? 

ja 

nein 

4. Die Bestellung der/des Da- 
tenschutzbeauftragten wurde 
den Beschäftigten bekannt 
gegeben ? 

ja 

nein 

5. Eine Bekanntmachung als 
Ansprechpartner für die 
Bürgerinnen und Bürger in 
Datenschutzfragen ist 
erfolgt ? 

ja 

nein 

wenn ja, 



5.1 der/die Datenschutz- 
beauftragte ist in der 
Internetpräsentation der 
Behörde als Ansprechpartner 
in Datenschutzfragen 
benannt? 

ja 

nein 

5.2 die Bekanntmachung erfolgte 
durch Pressemitteilung? 

ja 

nein 

5.3 die Bekanntmachung erfolgte 
in sonstiger Weise? 

ja 

nein 

6. Eine Entlastung ist für die 
Aufgabenwahrnehmung im 
Datenschutz wie folgt 
geregelt: 



6.1 Volle Entlastung für die 
Aufgabenwahrnehmung von 
anderen Aufgaben 

ja 

nein 

6.2 Vereinbarte Entlastung von 
anderen Aufgaben im 

Umfang von (Angabe in %) 



Wenn keine Entlastung 
festgelegt wurde: 

% 


6.3 Nach eigener Einschätzung 
durch den Daten- 
schutzbeauftragten beträgt 
der durchschnittliche Anteil 
für die 
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Aufgabenwahmehmung im 
Datenschutz (Angabe in %) 

% 


6.4 Es erfolgt eine Unterstützung 
des Datenschutzbeauftragten 
durch zugewiesene 

Mitarbeiter bzw. 

Hilfspersonal i.S.v. 

§ 4f Abs. 5 BDSG? 

Ja 

nein 

7. Für wie viele Beschäftigte an 
wie vielen Standorten (mit 
Entfernungsangabe, wenn 
Standorte weit verteilt) ist 
der/die Datenschutzbeauf- 
tragte der Behörde zustän- 
dig? 


8. Zur Arbeitssituation der/des 
Datenschutzbeauftragten in 
meiner Behörde möchte ich 
auf folgendes ergänzend 
hinweisen: 
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Rundschreiben des Bundesministeriums des Innern an die Obersten Bundesbehörden 
vom 30. Januar 2002, Az. Dil- 215 080-1/1: 

Hinweise zur Personalaktenführung 


Der Bundesbeauftragte für den Datenschutz hat in seinem 
letzten Tätigkeitsberichten einige V ollzugsdefizite im Be- 
reich des Personalaktenrechts moniert. V or diesem Hinter- 
grund weise ich auf folgende, offensichtlich wiederholt ver- 
letzte Regeln der Personalaktenführung hin: 

- Die Beihilfebearbeitung muss abgeschottet erfolgen. Ins- 
besondere ist die zwingend als Teilakte zu führende Bei- 
hilfeakte von der übrigen Personalakte einer/eines Be- 
schäftigten getrennt aufzubewahren (vgl. § 90a BBG) 

- Gesundheitszeugnisse, psychologische und ärztliche Gut- 
achten etc., die außerhalb der Beihilfebearbeitung ange- 
fordert oder vorgelegt worden sind, sind in einem ver- 
schlossenen Umschlag zur Grundakte zu nehmen (vgl. 
Rechtsgedanke des § 46a Abs. 2 Satz 1 BBG). 

- Unterlagen zur V orbereitung und Entscheidung über 
Stehenbesetzungsverfahren einschließlich den Unterla- 
gen über die Beteiligung der Personalvertretungen an 
solchen Maßnahmen sind nicht in den Personalakten der 
jeweiligen Bewerber/Bewerberinnen oder gar der letzt- 
lich ausgewählten Person zu führen, sondern sind in einer 
gesonderten Sachakte zusammenzufassen. Dieser Sach- 
akte kommt selbst insoweit keine Personalaktenqualität 
zu, wie sie Personalaktendaten enthält (vgl. auch Geset- 
zesbegründung in Bundestagsdrucksache 12/544 Seite 11 
und 16). 

Allerdings kann die Bewerbung einer/eines Beschäftig- 
ten auf einen Dienstposten als solche oder der Abdruck 
eines entsprechenden Bewerbungsschreibens sowie die 


Entscheidung, soweit sie ausschließlich eine Person be- 
trifft, auch zu deren Personenakte genommen werden. 

- Zur Sicherstellung eines umfassenden Einsichtsrechts 
der/des betroffenen Beschäftigten ist ein V erzeichnis al- 
ler Teil- und Nebenakten anzulegen und zur Grundakte 
zu nehmen (vgl. § 90 Abs. 2 Satz 4 BBG). 

- Im Rahmen der laufenden Aktenbereinigung sind 

- Unterlagen aus der Personalakte zu entfernen und zu 
vernichten, die nicht Personalaktendaten im Sinne 
von § 90 Abs. 1 BBG sind. Gleiches gilt für so ge- 
nannte „Vorakten“, d. h. Personalakten aus V ortätig- 
keiten bei anderen Dienstherren und/oder Behörden; 

- im Übrigen Unterlagen aus den V orakten in die ent- 
sprechenden Teile (Grund- oder Teilakten) der jewei- 
ligen Personalakte einzuordnen; 

- die unterschiedlichen Au fbewahrungsfristen zu be- 
achten und zu nutzen, vor allem 

- die Unterlagen über Beihilfen, Heilfürsorge, Heilver- 
fahren, Unterstützungen, Erholungsurlaub, Erkran- 
kungen, Umzugs- und Reisekosten nach Abschluss 
der Bearbeitung nur noch fünf Jahre aufzubewahren; 

— Unterlagen, aus denen die Art einer Erkrankung er- 
sichtlich ist und die im Rahmen der Bearbeitung von 
Beihilfe, Heilfürsorge und Heilverfahren vor gelegt 
und/oder angefordert worden sind, unverzüglich der/ 
dem Beschäftigten zurückzugeben. 
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Anlage 28 (zu Nr. 21.4) 

Rundschreiben des Bundesbeauftragten für den Datenschutz an die Obersten Bundesbehörden 
vom 17. September 2002, Az. III - 460 - 1/20: 

Abschottung der Beihilfestelle gegenüber der Personalverwaltung 


ln der Vergangenheit habe ich mich mehrfach zur Bearbei- 
tung von Beihilfen sowie zur Abschottung der Beihilfebear- 
beitung von der übrigen Personalverwaltung geäußert; vgl. 

15. Tätigkeitsbericht, Abschnitt 9.5.2. 1; 16. Tätigkeitsb e- 
richt, Abschnitt 23.4.3; 17. Tätigleitsbericht, Abschnitt 18.5; 18 
Tätigkeitsbericht, Abschnitt 18.5.1. 

Bei der Bearbeitung von Einzeleingären habe ich festgestellt, 
dass Probleme bei der Abschottung der Beihilfebearbeitung 
dadurch entstehen können, dass in einer Oganisationseinheit 
sowohl Beihilfen als auch die übrigen Personalausgaben be- 
arbeitet werden. Derartige Probleme treten auch auf, wenn in- 
nerhalb einer Or ganisationseinheit bestimmte Mitarbeiter 
ausschließlich mit der Beihilfebearbeitung betraut sind. 

ln § 90a BBG sind folgende Regelungen zum Umgang mit 
Beihilfeakten getroffen worden: 

— Unterlagen über Beihilfen sind stets als T eilakte zu füh- 
ren. 

— Diese Teilakte ist von der übrigen Personalakte getrennt 
aufzubewahren. 

— Die Beihilfeakte soll in einer von der übrigen Personal- 
verwaltung getrennten Or ganisationseinheit bearbeitet 
werden. 

— Zugang zur Beihilfeakte sollen nur Beschäftigte dieser 
Organisationseinheit haben. 

— Die Beihilfeakte darf für andere als für Beihilfezwecke 
nur verwendet oder weiteigegeben werden, wenn der Bei- 
hilfeberechtigte und der bei der Beihilfegewähmng be- 
rücksichtigte Angehörige im Einzelfall einwilligt, die 
Einleitung oder Durchführung eines im Zusammenhang 
mit einem Beihilfeantrag stehenden behördlichen oder 
gerichtlichen Verfahrens dies erfordert oder soweit es zur 
Abwehr erheblicher Nachteile für das Gemeinwohl, einer 
sonst unmittelbar drohenden Gefahr für die öf fentliche 
Sicherheit oder einer schwerwiegenden Beeinträchtigung 
der Rechte einer anderen Person erforderlich ist. 

Eine Einengung des Begriffs „übrige Personalverwaltung“, 
wie sie in der Begründung zu § 90a BBG enthalten ist (Per- 
sonalverwaltung im engeren Sinn) kann im Hinblick auf die 
neueren Regelungen zum Umgang mit besonderen Katego- 
rien personenbezogener Daten nicht vorgenommen werden; 


auf Artikel 8 der Richtlinie 95/46/EG des Europäischen Par- 
laments und des Rates vom 24.10.1995 zum Schutz natürli- 
cher Personen bei der Verarbeitung personenbezogener Da- 
ten und zum freien Datenverkehr und auf § 3 Abs. 9 BDSG 
in der seit 23. Mai 2001 geltenden Fassung darf ich aus- 
drücklich hinweisen. 

Aus den vorgenannten Gründen halte ich eine strikte Ab- 
schottung der Beihilfebearbeitung von der gesamten übri- 
gen Personalverwaltung - also auch von der Bearbeitung 
der sonstigen Personalausgaben - für dringend erforderlich. 

Folgende organisatorische Lösungen könnten dabei getrof- 
fen werden: 

a) Die Beihilfebearbeitung wi rd von einer Stelle außer- 
halb der Personalverwaltung der Behörde wahr genom- 
men. 

b) Die Beihilfebearbeitung für die Beschäftigten wird einer 
anderen Behörde übertragen, die die Aufgabenerledi- 
gung ggf. für mehrere Behörden zentral, einheitlich und 
dadurch möglicherweise sogar ökonomischer wahr- 
nimmt. 

Beide Lösungen halte ich für datenschutzgerecht. Soweit 
mir bekannt ist, ist die B earbeitung von Beihilfen bereits 
von einzelnen Bundesbehörden auf andere Bundesbehörden 
übertragen worden. 

Über meine Auffassung zur Beihilfebearbeitung werde ich 
auch in meinem 19. Tätigkeitsbericht berichten. 

ln diesem Zusammenhang weise ich vorsorglich daraufhin, 
dass Beihilfedaten nach § 90g Abs. 2 BBG automatisiert nur 
im Rahmen ihrer Zweckbestimmung und nur von den übri- 
gen Personaldateien technisch und or ganisatorisch getrennt 
verarbeitet und genutzt werden dürfen. 

Ich würde es begrüßen, wenn Sie die Or ganisation der Bei- 
hilfebehörde in Ihrem Geschäftsbereich unter Berücksichti- 
gung meiner Auffassung überprüfen und - falls erforderlich - 
entsprechend ändern würden. 

Ich wäre Ihnen dankbar , wenn Sie die Behörden Ihres Ge- 
schäftsbereichs sowie die Ihrer Rechtsaufsicht unterliegen- 
den Körperschaften, Anstalten und Stiftungen des öf fentli- 
chen Rechts unterrichten würden. 
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Anlage 29 (zu Nr. 28.1) 

Gemeinsame Erklärung des Bundesministeriums für Gesundheit und der Spitzenorganisationen zum 
Einsatz von Telematik im Gesundheitswesen 


Das Bundesministerium für Gesundheit und die V erbände 
und Organisationen auf Spitzenebene sprechen sich für ei- 
nen verstärkten Einsatz von Telematikanwendungen im Ge- 
sundheitswesen aus. 

Sie stimmen darin überein, da ss damit die gemeinsamen 
Zielsetzungen 

- Verbesserung der Qualität de r medizinischen V ersor- 
gung, u. a. der Arzneimittelsicherheit, 

- Verbesserung patientenorientierter Dienstleistungen, 

- Stärkung der Eigenverantwortung, Mitwirkungsbereit- 
schaft und -initiative der Patienten, 

- Steigerung der Wirtschaftlichkeit und Leistungstranspa- 
renz im Gesundheitswesen, 

- Optimierung von Arbeitsproz essen und Bereitstellung 
von aktuellen Steuerungsinfonnationen 

erreicht werden können. 

Um diese Zielsetzungen zu erre ichen, sollen in einem Koo- 
perationsverbund eine neue T elematikinfrastruktur auf der 
Basis einer einheitlichen Rahmenarchitektur entwickelt, die 
elektronische Kommunikation verbessert bzw . eingeführt 
(eRezept, eArztbrief) und die Krankenversichertenkalte zu- 
sätzlich als Gesundheitskarte angeboten werden. Die Ge- 
sundheitskarte soll auch Werkzeug für den datengeschützten 
Zugriff auf personenbezogene Gesundheitsdaten sein. Die 
Gesundheitskalte soll den europäischen Notfalldatensatz 
des Patienten, seine persönliche Identifikation/ Authentifi- 
zierung sowie Verweisfunktionen u. a. auf die Arzneimittel- 
dokumentation und das elektr onische Zuzahlungsmanage- 
ment des Patienten enthalten. 

Das BMG begiüßt in diesem Zusammenhang die Initiative 
der Selbstverwaltung, eine T elematikplattform für das Ge- 
sundheitswesen in Deutschland aufzubauen und die modell- 
hafte Erprobung einer weiterentwickelten Krankenversi- 
chertenkarte als Gesundheitskarte mitzutragen. 

Diese Entwicklung greift auf europäischer Ebene auf die 
Beschlüsse von Barcelona, auf das Aktionsprogramm der 
Bundesregierung zur Informationsgesellschaft und seinen 
Fortschrittsbericht sowie auf die Vorarbeiten des Aktionsfo- 
rums Telematik im Gesundheitswesen zurück. 

Das Bundesministerium für Gesundheit und die V erbände 
und Organisationen auf Spitzenebene werden bei der Vorbe- 
reitung und Durchführung von Projekten eng Zusammenar- 
beiten und gemeinsame Zielse tzungen unterstützen. Dabei 
wird angestrebt, die unterschiedlichen technischen Lösungs- 
ansätze der Modellprojekte ergebnisoffen nach gemeinsam 
festzulegenden Kriterien im Hinblick auf Kosten und Ak- 
zeptanz zu evaluieren und gewonnene Erfahrungen zu nut- 
zen, um zu einer flächendeckenden T elematikplattform für 
das deutsche Gesundheitswesen zu gelangen. 


Modellversuche dürfen nur unter strenger Beachtung des 
Datenschutzes und des Selbstbestimmungsrechtes des Pa- 
tienten durchgeführt werden. 

Leistungserbringer haben bereits heute eine Reihe von Do- 
kumentationspflichten zu erfüllen. Diese bleiben unberührt. 
Es besteht Einigkeit, dass die mit dem Ausbau zur Gesund- 
heitskarte verbundene Speicherung und V erarbeitung der 
Gesundheitsdaten als freiwilliges Angebot an die Versicher- 
ten zu gestalten ist, insbesondere 

- dass die Datenhoheit der Patienten und der Grundsatz 
der Freiwilligkeit der Sp eicherung von Gesundheitsda- 
ten bewahrt wird; 

- dass Patienten entscheiden können, welche ihrer Ge- 
sundheitsdaten aufgenommen und welche gelöscht wer- 
den; 

- dass Patienten entscheiden können, ob und welche Daten 
sie einem Leistungserbringer zugänglich machen; 

- dass keine zentral gespeicherten Datensammlungen über 
Patientinnen und Patienten entstehen; 

- dass Patienten und Versicherte das Recht haben, über sie 
gespeicherte Daten vollständig zu lesen; 

- dass die Verwendung der gespeicherten Patientendaten 
selbstverständlich nur innerhalb des gesetzlichen Rah- 
mens unter W ahmng des bestehenden Schutzniveaus 
(z. B. Beschlagnahmeschutz in der Arztpraxis) erlaubt 
ist. 

Im Rahmen der Gesundheitskalte und des Aufbaus der Tele- 
matikplattform werden das eR ezept, der eArztbrief und die 
Arzneimitteldokumentation als Einstieg in die elektronische 
Patientenakte auf der Grundlage einer geeigneten Informati- 
ons-, Kommunikations- und Sicherheitsinfrastruktur einge- 
führt. 

Die Projekte sollen nach dem Grundkonsens dieser Erklä- 
rung in gegenseitiger Abst immung unter Einbeziehung des 
Datenschutzbeauftragten begleitet werden, internationalen 
Nonnen entsprechen und interoperabel (unter anderem mit 
der Health Professional Card) angelegt sein. Dabei sollen im 
Rahmen des stufenweisen Aufbaus der T elematikplattform 
das eRezept im Zusammenwirken mit der bisherigen Kran- 
kenversichertenkarte und Serverstrukturen und die Gesund- 
heitskarte mit erweiterten Anwendungen in einem Koopera- 
tionsverbund erprobt, evaluiert und eingeführt werden. Für 
das Vorhaben wird der Dialog mit allen gesellschaftlichen 
Kräften, insbesondere den Patienten, gesucht. 

Die Beteiligten sind sich einig, dass sie aufgrund des erwar- 
teten gemeinsamen Nutzens die weiteren Fragen der Ausge- 
staltung, Funktionalisierung, Standardisierung und Finan- 
zierung gemeinsam lösen wollen und zu diesem Zwecke 
eine Steuerungsgruppe einrichten. 
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Diese Erklärung wird getragen von: 

dem Bundesministerium für Gesundheit 
dem Verband der Angestellten-Krankenkassen e. V. 
dem Arbeiter-Ersatzkassen- Verband e.V. 
der Kassenärztlichen Bundesvereinigung 
der Bundesvereinigung Deutscher Apothekerverbände 
der Bundesärztekammer - Arbeitsgemeinschaft der Deut- 
schen Ärztekammern 
der Deutschen Krankenhausgesellschaft 
dem AOK Bundesverband 


dem BKK Bundesverband 
der Kassenzahnärztlichen Bundesvereinigung 
dem Verband der privaten Krankenversicherung 
dem Bundesverband der landwirtschaftlichen Krankenkas- 
sen 

der Bundesknappschaft Bochum 
dem IKK-Bundesverband 

dem Hauptverband der gewerblichen Berufsgenossenschaf- 
ten e.V. 

der See-Krankenkasse 

und dem Aktionsforum Telematik im Gesundheitswesen 
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Sachregister 

Als Fundstelle ist die Nummer des Abschnitts oder des Beitrages angegeben, in dem der Begriff 
verwendet wird. 


Abgabenordnung - AO - 14.3; 15.3 
Abschottung 21.4 
Akte, elektronische 33.9 
Aktenvernichtung 17.2; 17.3; 34.25 
Alias-Personalien 16.2.2 
Anlasstatenkatalog 8. 2. 3. 4 
Anonymisierung 23.5.2 
Apotheken-CD 28.7.3 

Arbeitgeber-lnformations-Service - AIS - 23.5.1; 23.5.2 
Arbeitnehmerdatenschutz 1.1 
Arbeitnehmerdatenschutzgesetz 21.1 
Arbeitsamt 23 

Arbeitsbescheinigung 23.2.2 

Arbeitslosenhilfe 23.2.1 

Arbeitsverwaltung 1.6 

Artikel 29 Gruppe (Datenschutzgruppe) 3.6 

Artikel 10-Gesetz 19.2 

Arzt, beratender 26.1.2; 26.1.3 

Arztbrief, elektronischer 28.1; 28.2 

ärztliche Schweigepflicht 29.2 

Asylcard 34.2 

ASYLON 7.1.2 

Asylrecht 7.1 ff. 

Asylverfahrensgesetz 7.1.4 
Auditgesetz 3.2.1 

Aufbewahrungsbestimmungen 34. 12 
Ausforschung 8.8 
Ausforschungsgefahr 8.8 
Auskunftsersuchen 11.3.4.1 
Auskunftsverweigerung 10.4 
Ausländergesetz 14.1 
Ausländerrechtliche Vermerke 34.1 
Ausländerzentralregister - AZR -2.4.1; 6.1 
Ausländerzentralregistergesetz 34.2 
Auswärtiges Amt 16.2.3; 20.3.4 
Ausweisdaten 12.3 
Auswertedatei 13.2 

automatisierte Einzelentscheidung 10.5.2 
Automatisiertes F ingerabdruckidentifizierungssystem 
- AFIS - 13.9 

BDSG-Novelle 3.2 
Beauftragter für den Datenschutz der 
- Bundesanstalt für Arbeit 23.1 
-Bundeswehr 30.1 
Behandlungsunterlagen 1.13 
Beihilfe 21.4 

Beschlagnahmeverbot 8.2.2 
Bestandsdaten 11.3.4.1 
Bewegungsprofil 1.10 
Bildaufnahmen, heimliche 8.1 
Bildbearbeitung, computergestützte 4.1.2 
Biometrie 1.11; 4.2 


Biometrische Daten 34.2 
Biometrische Identifizierung 3.9 
Briefmarken 12.4 

Bundesamt für die Anerkenn ung ausländischer Flücht- 
linge - BAF1 - 7. 1.2; 7.1.3; 34.3 
Bundesamt für Finanzen 15.3 

Bundesamt für Verfassungsschutz 13.2.1; 17 ff; 20.3.3 
Bundesanstalt für Arbeit - BA - 23 ff. 

Bundesanstalt für Straßenwesen 29.2 
Bundesarbeitsgemeinschaft für Rehabilitation 27.1; 27.2 
Bundesbeauftragte für die Unterlagen des Staatssicher- 
heitsdienstes der ehemaligen DDR - BStU - 7.6; 34.7 
Bundesbeauftragter für Asylangelegenheiten 7.1.4 
Bundesdisziplinargesetz 34.22 
Bundesdruckerei GmbH 7.2 

Bundesgrenzschutzaktennachweis - BAN - 14.1; 14.2 
Bundesnachrichtendienst - BND - 13.2.1; 19 ff; 20.3.1 
Bundesversicherungsanstalt für Angestellte - BfA - 25.1; 
25.3 

Bundesverwaltungsamt 7.5 
Bundeswahlgesetz 7.8.1 
Bundeswehr 30.1; 30.2 
Bundeszentralregister - BZR - 8.7 
Bundeszentralregistergesetz 8.7 
BundOnline 2005 1.5; 4.7; 33.3; 33.8 
Bußgeldvorschriften 11.5 

Call-by-Call 11.9 
CallGuard 11.10.2 
Chipkarte 28.2 

- Medikament enchipkarte 28.3 
Cyber Crime Convention 8.5 
Datennetzkriminalität 8.5 
Datenpool 6.2; 23.2.2 
Datenschutzaudit 1.2; 3.2.1 
Datenschutzbeauftragter 

behördlicher 3.2.5; 23.1; 30.1; 33.5 
betrieblicher 33.5 
europäischer 3.8 
Datenschutzjubiläum 33.1 
Datenschutzkonferenz 
europäische 3.9 
Internationale 3.10; 32.5 
Datenschutzorganisation 23.1; 30.1 
Datenschutzprofil 4.3 
Datenschutzprüfung, automatisierte 4.5 
Datenschutzrecht 3.1; 3.3 

Datenschutzrichtlinie, s. EG-Datenschutzrichtlinie 
Datenschutzsymposion 33.2 
Datenschutzverordnung 12.1 
Datensicherheit 11.2.3 
Datensparsamkeit 4.1.2; 4.7; 11.2.3 
Datenvermeidung 4.1.2; 4.7; 11.2.3 
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Deutsche Post AG 12 ff. 

Deutscher Presserat 34.15 
Dialer 11.4 

Dienstanschlussvorschriften - DAV - 11.15 
Dienstanweisung E-Mail 33.7 
Disease-Management-Programme 24.1.2 
Disziplinarverfahren 31.1 
DNA-Analyse 1.9; 8.1; 8.2.3 

- unbefugte 8.1 

DNA-Analyse-Datei 8.2. 3. 3; 13.3 
DNA-Identifizierungsmuster 13.3 
DNA-Massentest 8. 2. 3. 2 
Dokumentenmanagementsystem 30.4.1; 33.9 
Dopingopfer-Hilfegesetz 7.5 
Drittstaaten 3.2.4 
Düsseldorfer Kreis 3. 2. 4.2; 28.7 

ECHELON 34.20 
EG-Datenschutzbeauftragter 3.8 
EG-Datenschutzrichtlinie 3.2.4. 1; 3.6; 3.10; 34.6 
eGovernment 1.5; 4.7; 32.5 
EG-Telekommunikationsdatenschutzrecht 1 1 . 1 .2 
EG-Zollinformationssystem - EG-ZIS - 9.10 
Eilkompetenz 8.2. 3. 2 

Einrichtungen, lebens- und verteidigungswichtige 20. 1 

Einwilligung 11.6; 11.14; 30.4.2 

Einwilligung, elektronische 11.6 

Einzelentscheider 7.1.3 

Einzelentscheidung, automatisierte 10.5.2 

Einzelverbindungsnachweis 11.11.1 

Elektronic Commerce/E-Commerce 4.3 

Elektronische Medien 11.2.1 

Elektronischer Rechtsverkehr 8.10.1 

E-Mail 

- Dienstanweisung 33.7 

- Vertretungsregelung bei privater Nutzung 33.7 

- unerwünschte 10.9.2 
Ende-zu-Ende-Sicherheit 33.6 
Enfopol 55 34.21 
Erfahrungsaustausch 3.2.5 

Errichtungsanordnung 13.2; 13.2.2; 13.3; 13.4; 13.9; 
14.1; 14.3 

EU-Datenschutzrichtlinie für elektronische Kommunika- 
tion 11.1.1 
Eurodac 7.1.1; 13.9 
Eurojust 8.9; 16.1; 16.2.1 
Europäische Kommission 4.4 

Europäischer Wirtschaftsraum - EWR - 3.2.4. 1; 32.3.1 
Europarat 32.2 

Europaratskonvention 108 32.2 
Europol 7. 1 . 1 ; 1 6. 1 ; 16.2.1; 16.3.2; 
Europol-Übereinkommen 16.1; 16.3.2 
EU- Staatsangehörige 34.6 
Evaluierung 2.3.1; 13.6; 16.1; 23.2.1 
Evidenzzentrale 10.5.3 

Fachkunde 23.1 
Fahrerlaubnisbehörde 29.2 
Fälschungssicherheit 7.2 
Faxwerbung 10.9.1 
Fernmeldeanlagengesetz 8.2.1 


Fernmeldegeheimnis 11.3.3 
Financial Intelligence Unit 13.7 
Finanzmarkt 1.4 
Finanzverwaltungsgesetz 15.2 
Fingerabdruckblätter 7.1.1 
Fliegerärztliche Untersuchungen 29.4 
Fliegerdatenbank 29.4 
Forschungsdatengeheimnis 23.2.2 
Forschungsdatenzentrum 23.2.2 
Freedom of Information Act 32.1 
Freier Datenverkehr 3.2.4. 1 
Fußfessel, elektronische 34.8 

Garantievertrag 3. 2. 4. 2 
Geldwäsche 13.7; 15.2 
Genetische Daten 32.6 
Genomanalyse 1.9; 8.2.3; 28.5 
Gesundheitsakte, elektronische 1.7 
Gesundheitskarte 28.1 

- elektronische 28.3 
Gesundheitspass, elektronischer 28.3 
Gesundheitsreform 24.1.1 
Gesundheitswesen 1.7 
Gleichstellungsbeauftragte 2 1 .2.2 
Gleitzeit 21.3.3; 33.4 
Globalisierungsgegner 13.2.2; 13.5 
Grenzschutzdirektion 13.2.1; 15.1 
Großer Lauschangriff 8.4 

Großer Spähangriff 8.4 
Gutachter 26.1 ff. 

Handflächenabdrucke 13.9 
Handyreparatur 11.7 
Hartz-Kommission 23.2.2 

Hauptverband der gewerblichen Berufsgenossenschaften 
26.1; 26.1.1; 26.1.2 

Hausarrest, elektronisch überwachter 34.8 
Health Professional Card 28.2 
Heimgesetz 34.18 
Hinweis, personengebundener 13.4 
Holocaust-Opfer 7.10 
Homeland Security Bill 3.10; 32.1 
Hotelmeldepflicht 7.3 

ldentigramm 7.2 

IMSI-Catcher 1.10; 2.3.1; 8.2.4; 17.1 
Informationsfreiheit 3.4 
Informationsfreiheitsgesetz 3.4 
Informationsmaterial 33.5 
Inkassoverfahren 11.9 
Innere Sicherheit 1.3 
1NPOL 13.4; 13.5; 13.8; 14.1 
Insolvenzverfahren 10.7 
Internet 10.7; 10.9.2; 11.1.3; 11.2; 11.16 

- am Arbeitsplatz 11.16 

- Internet Task Force 11.1.3 

- Zahlungsverfahren 11.2.3 
Interpol 13.5 
lT-Sicherheit 4 ff. 

JobCard 23.2.2 
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Job-Center 23.2 
Jour Fixe 34.17 
Junk Call 11.10.1 

Kölner Modell 28.2 
Konsultationsverfahren 16.2.3 
Konten-Evidenzzentrale 10.2 
Kontrollstelle, gemeinsame 7.1.1 
Kontrollstempel 34.1 
Kooperationsvereinbarungen 23 .2. 1 
Korruptionsregister 10.3 
Kraftfahrt-Bundesamt - KBA - 29.3 
Krankenhausentlassungsberichte 24.1.4 
Krankenkasse 1.13 
Krankenversicherung 24.1 
Kreiswehrersatzamt 30.4 
Kriminalstatistik, polizeiliche 14.1 
Kundenbindungsprogramme 10.6 
Kundenkarte 10.6 
Kundenprofil 1.14; 10.6 

Laboruntersuchungen 24. 1 .5 
Landesarbeitsamt 23.1 
Lauschangriff 8.4 
Liaisonpersonal 34.3 
Linux 4.4; 33.8 
LKW-Maut 1.10; 29.1 
Location Bosed Services 11.1.1; 11.6 
Lokalisierungstechniken 11.6 
Luftfahrt-Bundesamt 29.4 

Luftverkehr-Zuverlässigkeitsüberprüfung 2.2.1; 20.2 
Machbarkeitsstudie 34.2 

MARIS-Migration Asyl Reintegrationssystem 7.1.1; 7.1.2; 
7.1.3 

Maut 29.1 

Medien 8.2.2; 34.15 
Medienbereich 34.15 

Medizinischer Dienst der Krankenversicherung 24. 1 .4 
Mehrwertdiensterufnummern 11.4 
Melderechtsrahmengesetz 7.3 

Militärischer Abschirmdienst - MAD - 18 f f.; 20.3.2; 
20.4 

Mindestspeicherfrist 11.3.3 
Mitarbeitergespräche 21.2.3.1 
Mondorfer Abkommen 14.3 
MoZArT 23.2.1 
Mustervertragsklausel 3.6 

Nachsendung bei Umzug 12.2 
NEAPEL Il-Übereinkommen 16.4 
Negativauskunft 8.8 
Novellierung BDSG 3.2; 3.3 
NS-Opfer 7.10 

OECD 32.5; 32.6 

Online-Authentifizierungsdienst 11.1.3 
Online-Wahlen 7.8.2 
Open Source-Software 4.4; 33.8 
OP-Protokolle 28.7.2 
Ordnungswidrigkeiten 11.5 


Organisierte Kriminalität 8.4; 8.8; 8.9 
Packstation 12.7 
Paketabholung 12.3 

Parlamentarisches Kontrollgremium 19.2 
Pass 7.2 

Passport (Microsoft) 11.1.3 
Password 4.2 

Patientenakte, elektronische 1.7; 28.1; 28.4 
Patientendaten 28.6 
PAYBACK-Karte 10.6 
Personalakte 21.2 ff; 30.2; 30.3.1; 31.1; 31.2 
Personalaktenführung 21.2.1 
Personalaktenrichtlinien 21.2.1 
Personalausweis 7.2 
Personaldokument 7.2 

Personalfiihrungs- und Informationssystem der Bundes- 
wehr - PERFIS - 18.1.1; 30.2; 30.4.1 
Personalinformationssystem 21.3 ff. 
Personal-Service-Agentur 23.2.2 
Personen der Zeitgeschichte 7.6.1 
Personengebundener Hinweis 13.4 
Pflegedokumentation 24.2.2 
Pflegekassen 1.13 

Pflege-Qualitätssicherungsgesetz 34. 18 
Pflegeversicherung 24.2 
Post 12 ff. 

Postcard 12.7 
Postdienste 12.1 

Postdienste-Datenschutzverordnung 12.1 
Postgeheimnis 34.19 
Postident- Verfahren 12.7 
Postmarkt 

- neue Unternehmen 34.19 
Postöffnung 12.5 
Postzustellungsauftrag 12.6 
Prepaid-Cards 11.3.4.1 

Privacy Enhancing Technologies (PETs) 3.10; 32.5; 32.6 
Private Krankenversicherer 28.7.2 
Privatwirtschaft 20.3.5 
Protection Profile 4.3 

Quellenschutz 19.3 

Rabattgewährung 10.6 
Rabattkarte 10.6 
Rasterfahndung 1.3; 13.1 
Rechteverwaltung 4.6 
Rechtshilfe 8.5; 8.9 
Rechtstatsachen 13.6 
Redaktionsdatenschutz 34.15 
Reform des Datenschutzrechts 1.2; 3.1; 3.3 
Regulierungsbehörde für T elekommunikation und Post 
34.17 

Rehabilitation 27.1 

Rehabilitations- und Schwerbehindertenrecht 27 ff. 
Rehabilitationsklinik 25.1; 25.3 
Rentenversicherung 25 ff. 

Rezept, elektronisches 1.7; 28.1 
Richtervorbehalt 8.2. 3.1 
Riesterrente 9.4 
Robinson-Liste 10.9.1 
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Rosenholz 34.7 

Rückruf bei Nichtmelden 11.11.4 
Rufnummernübermittlung 
-CLIP 11.10.2 
- CL1R 11.10.2 

Sabotageschutz 2.3.2; 20.1 
Safe Harbor 3.7 
SAP R/3 HR 30.2; 30.4.1 
Schengen 13.7; 16.2 

Schengener Durchführungsübereinkommen 14.3; 16.2.1; 
16.2.2 

Schengener Informationssystem / SIS 16.2.1; 16.2.2; 34.4 
Scherzanruf 11.10.1 
SCHUFA 10.5 

Schuldnerdaten im Internet 10.7 
„Schwarze Liste“ 3.9; 11.10.1 
„Schwarze Liste- Verordnung“ 34.13 
Schweigepflicht, ärztliche 29.2 
Schweigepflichtsentbindungserklärung 1.13 
Score-Wert 10.5.2; 34.14 
Scoring- Verfahren 10.5.2; 34.14 
Selbstbestimmung 3.3 
Selbstkontrolle, freiwillige 4.5 
Selbstregulierung 3.2.3; 3.3; 11.2.1; 34.15 
Servicestellen 27.2 
Sicherheitsdienste, private 34.16 
Sicherheitspaket 2.2.1; 20.2.1 
Sicherheitsüberprüfung 18.3; 20 ff. 

Signatur, digitale 7.1.2; 8.10.2; 23.2.2; 33.6 
SIRENE-Biiro 16.2.1; 16.2.2 
Smart-Card im Asylverfahren 34.2 
Software, zertifizierte 4.3 
Sozialdaten 22.1; 23.2.1 
Sozialhilfe 23.2.1 

Sozialversicherungsnummer 23.2.1 
Spam 10.9.2 
Sperrvermerk 8.7 
SPHINX 33.6 

Spurenmaterial 8.2.3. 1; 8.2.4 

Staatliche Versicherung der DDP in Abwicklung 10.4 
Staatsangehörigkeitsdatei - STADA - 7.7 
Staatsschutz, polizeilicher 13.4; 13.5 
Standardvertragsklausel 3. 2. 4. 2 
Standortdaten 11.1.1 
Stasi-Unterlagen 1.12; 7.6.1 
Stasi-Unterlagen-Gesetz - StUG - 7.6 
Steuerbescheinigung 9.7 
Steuerdaten- Abruf- Verordnung 34.10 
Steuerfahndung 15.1 
Steuergeheimnis 9.5 
Steuernummer 9.2.2 

Stiftung „Erinnerung, Verantwortung und Zukunft“ 7.10 
Strafprozessordnung - StPO - 8.2; 8.4; 8.5; 8.8 
Straftaten, politisch-motivierte 13.4 
Strafvollzugsgesetz - StVollzG - 8.6; 34.8 
Suchdienst des Deutschen Roten Kreuzes 7.4 
Suchdienst, kirchlicher 7.4 
Suchdienstedatenschutzgesetz 7 . 4 

Task Force Leuna/Minol 9.9 


Tätigkeit, sicherheitsempfindliche 20.1; 20.3.3 
Technologischer Datenschutz 4 ff. 

Teilnehmerbeurteilung 23.3 
Telearbeit 7.1.3 
Telearbeitsplatz 7.1.3 
Teledienste 11.2; 11.16 
Teledienstedatenschutzgesetz 
-Novellierung 11.2.1 
Telefonbucheintrag 11.12 
Telefonstellen, öffentliche 11.8 
Telefonüberwachung 1.1; 8.2.1; 8.2.5; 8.3; 8.5 
Telefonverzeichnisse, auch elektronische 11.12 
Telekommunikations-Datenschutzverordnung 
-TDSV- 8.2.1 

Telekommunikationsdiensteanbieter 8.2.1; 8.5 
Telekommunikationsüberwachung 1.1; 8.2.1; 8.2.5; 8.3; 

8.5 

Telekommunikationsüberwachungsmaßnahmen 11.3.2 
Telekommunikations-Überwachungsverordnung 
-TKÜV- 11.3.2 

Telekommunikations-Universaldienstleistungsverord- 
nung 11.8 

Telekommunikationsverbindungsdaten 

- Finanzämter 9.8 

- Strafverfolgungsbehörden 8.2.1; 8.5 
Telematik im Gesundheitswesen 1.7; 28.1 
Terroranschlag vom 11. September 2001 3.9; 32.1; 32.4; 

32.5 

Terrorismusbekämpfung 1.3; 2; 32.1 
Terrorismusbekämpfungsgesetz 2.2; 17.1; 18.1.2; 19.1; 
20.2; 34.2 

Travel-Management-System 21.3.2 

Umsatzsteuerbetrug 9.2; 9.2.1 
Umzug 

-Nachsendung 12.2 
Unfallversicherung 26 ff. 

Unterlassungsklagengesetz 11.4 
Unternehmensnummer 10.1 
Untersuchungen, molekulargenetische 8. 2. 3.1 
USA 32.1 

USA-Patriot Act 32.1 

Verbindungsdaten 8.2.1; 8.5 
Verbraucherinformation 3.5 
Verbraucherinformationsgesetz 3.5 
Verbraucherinsolvenz verfahren 10.7 
Verbunddatei 13.1; 13.4; 13.5; 15.3 
Verdienstorden 34.9 
Vereinigte Staaten von Amerika 32.1 
Verhaltensregeln 3.2.3 
Verkehrsdaten 3.9; 32.5 
Verkehrsüberwachung 29.1 
Verkehrsverstöße im Ausland 29.3 
Vermittlungsbörsen 23.2 

Veröffentlichung von Gerichtsentscheidungen 8.11 
Verschlüsselung 33.6 
Verwertungsverbot 17.2; 26.2 
Videoüberwachung 1.2; 3.2.2; 3.6; 4.1; 

32.2; 32.5 
VISA 2000 6.1 
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Visadatei 34.2 
Visaverfahren 6.1 
Volkszählung 7.9 
Vorratsdatenspeicherung 11.3.3 
Vorschlagsrecht 26.1.1 
Wahlen 7.8 

Warndatei im Wohnungswesen 1.14; 10.5.1; 10.8 
Wehrersatzwesen-Informationssystem - WEWIS - 30.4. 1 
Werbung (unerwünschte) 10.9; 11.14 
Wirtschaftsnummer 10.1 
Wohnraumüberwachung 

- akustische 8.4 

- optische 8.4 

Zeitarbeit 23.2.2 
Zensus 7.9 


Zentrales Staatsanwaltschaftliches Verfahrensregister 8.8 
Zeugnisverweigerungsrecht 8.2.1 
- von Journalisten 8.2.2 
Zigarettenkauf an Automaten 28.7.1 
ZIS-Übereinkommen 16.3 
Zivildienst 31 ff. 

Zoll 12.5 

Zollfahndung 13.3; 15.1; 16.3 
Zollfahndungsneuregelungsgesetz 15. 1 
Zollkriminalamt 13.2.1; 15.1 
Zollverwaltung 13.3; 14.3; 15.1; 16.4 
Zollverwaltungsgesetz 15.2 
Zusammenarbeitsgesetz 23.2 
Zuwanderungsgesetz 34.1 
Zwangsarbeiter 7.10; 7.10.1; 7.10.2 
Zweite Stufe der BDSG-Novelliemng 3.3 
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Abkürzungsverzeichnis/Begriffe 


AA 

ABI. 

Abs. 

AFIS 

AG 

AGB 

AIS 

AK II 

AKE 

AO 

APC 

ASYLON 

Asyl VfG 

AuslG 

AuslDatV 

AVmG 

AWG 

AZR 

AZR-Gesetz 


Auswärtiges Amt 

Amtsblatt der Europäischen Gemeinschaften 
Absatz 

Automatisiertes F ingerabdruck-ldentifizierungssystem 

Aktiengesellschaft: aber auch: Arbeitsgruppe 

Allgemeine Geschäftsbedingungen 

Arbeitgeber- Informations-Service 

Arbeitskreis II „Innere Sicherheit“ der IMK 

Arbeitsgruppe Koordinierte Ermittlungen 

Abgabenordnung 

Arbeitsplatzcomputer 

Asyl-online 

Asylverfahrensgesetz 

Ausländergesetz 

Ausländerdateien- Verordnung 

Altersvermögensgesetz 

Außenwirtschaftsgesetz 

Ausländerzentralregister 

Ausländerzentralregistergesetz 


BA 

BAF1 

BAN 

BAR 

BAZ 

BBG 

BBfA 

BDO 

BDSG 

BfA 

BfD 

BfD/BA 

BfDBw 

BfF 

BFiO 

BfV 

BG 

BGB 

BGBl. 

BGH 

BGS 

BGSG 

BITKOM 

BK 

BKA 

BKA-Gesetz (BKAG) 

BMA 

BMF 

BMFSFJ 

BMG 

BMI 

BMJ 

BMVBW 

BMVg 

BMWA 

BMWi 

BND 

BNDG 


Bundesanstalt für Arbeit 

Bundesamt für die Anerkennung ausländischer Flüchtlinge 
Bundesgrenzschutzaktennachweis 
Bundesarbeitsgemeinschaft für Rehabilitation 
Bundesamt für den Zivildienst 
Bundesbeamtengesetz 

Bundesbeauftragter für Asylangelegenheiten 

Bundesdisziplinarordnung 

Bundesdatenschutzgesetz 

Bundesversicherungsanstalt für Angestellte 

Bundesbeauftragter für den Datenschutz 

Beauftragter für den Datenschutz der Bundesanstalt für Arbeit 

Beauftragter für den Datenschutz der Bundeswehr 

Bundesamt für Finanzen 

Büro Führungskräfte zu internationalen Organisationen 

Bundesamt für Verfassungsschutz 

Berufsgenossenschaft 

Bürgerliches Gesetzbuch 

Bundesgesetzblatt 

Bundesgerichtshof 

Bundesgrenzschutz 

Bundesgrenzschutzgesetz 

Bundesverband Informationswirtschaft, Kommunikation und neue Medien e.V. 

Bundeskanzleramt 

Bundeskriminalamt 

Gesetz über das Bundeskriminalamt und die Zusammenarbeit des Bundes und der 
Länder in kriminalpolizeilichen Angelegenheiten 
Bundesministerium für Arbeit und Sozialordnung 
Bundesministerium der Finanzen 

Bundesministerium für Familie, Senioren, Frauen und Jugend 
Bundesministerium für Gesundheit 
Bundesministerium des Innern 
Bundesministerium der Justiz 

Bundesministerium für Verkehr, Bau- und Wohnungswesen 

Bundesministerium der Verteidigung 

Bundesministerium für Wirtschaft und Arbeit 

Bundesministerium für Wirtschaft und Technologie 

Bundesnachrichtendienst 

Gesetz über den Bundesnachrichtendienst 
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BSHG 

BSI 

BStU 

BVA 

BVerfG 

BVerfGE 

BVerfSchG 

BVerwG 

BVerwGE 

BvS 

BWpV 

BZR 

BZRG 

bzw. 

ca. 

CC 

CC IVBB 

CD/CD-ROM 

GERT 

GEN 

CJ-PD 

CLIP 

CLIR 

d. h. 

DAV 

DDR 

DHCP 

DHS 

DMP 

DNA 

DNS 

drbd 

Drs. 

DTAG 

Düsseldorfer Kreis 

DV/dv 

ECHELON 

E-Commerce 

EDV 

EG 

EG-Z1S 

E-Mail 

EP 

EStG 

EU 

Eurodac 

Europol 

etc. 

e. V. 

EVN 

EWG 

EWR 

f. 

FAG 

FATF 
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Bundessozialhilfegesetz 

Bundesamt für Sicherheit in der Informationstechnik 

Bundesbeauftragte für die Unterlagen des Staatssicherheitsdienstes der ehemaligen 
DDR 

Bundesverwaltungsamt, aber auch: Bundesversicherungsamt 

Bundesverfassungsgericht 

Entscheidungen des Bundesverfassungsgerichts 

Bundesverfassungsschutzgesetz 

Bundesverwaltungsgericht 

Entscheidungssammlung des Bundesverwaltungsgerichts 

Bundesanstalt für vereinigungsbedingte Senderaufgaben 

Bundeswertpapierverwaltung 

B undeszentralregister 

Bundeszentralregistergesetz 

beziehungsweise 

circa 

Common Criteria for Information Technology Security Evaluation 

Competence Center Informationsverbund Berlin-Bonn 

Compact Disc-Read Only Memory 

Computer Emergency Response Team 

Comite Europeen de Normalisation 

Projektgruppe Datenschutz des Europarates 

Calling Line Identification Presentation 

Calling Line Identification Restriction 

das heißt 

Dienstanschlussvorschriften 
Deutsche Demokratische Republik 
Dynamic Host Configuration Protocol 
Deportment of Home Security 
Disease-Management-Programme 
Desoxyribonoclein acid (acid=Säure) 

Domain Name Service 
Distributed Replicated Block Device 
Drucksache 
Deutsche Telekom AG 

oberstes Koordinierungsgremium der obersten Aufsichtsbehörden für den 

Datenschutz 

Datenverarbeitung 

Abhörsystem der National Security Agency 
Elektronic Commerce/Elektronischer Handel 
Elektronische Datenverarbeitung 
Europäische Gemeinschaft(en) 

Europäisches Zollinformationssystem 
Electronic Mail 
Europäisches Parlament 
Einkommensteuergesetz 
Europäische Union 

Europäisches daktyloskopisches Fingerabdrucksystem zur Identifizierung von 
Asylbewerbern 
Europäisches Polizeiamt 
et cetera 

eingetragener Verein 
Einzelverbindungsnachweis 
Europäische Wirtschaftsgemeinschaft 
Europäischer Wirtschaftsraum 
folgend 

F emmeldeanlagengesetz 
Financial Action Task Force 
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FeV Fahrerlaubnis- Verordnung 

ff. folgende 

FIU Financial Intelligence Unit 

FÜV F emmelde-Überwachungs-Verordnung 


G 10 
GBA 
gern. 
GG 

ggf- 

GGO 

GmbH 

GPL 

GwG 


Artikel 10-Gesetz 

Generalbundesanwalt beim Bundesgerichtshof 

gemäß 

Grundgesetz 

gegebenenfalls 

Gemeinsame Geschäftsordnung der Bundesministerien 
Gesellschaft mit beschränkter Haftung 
GNU General Public License 
Geldwäschegesetz 


Hartz-Kommission Kommission „Moderne Dienstleistungen am Arbeitsmarkt“ 

HmbGVBl. Hamburgisches Gesetz- und Verordnungsblatt 

HPC Health Professional Card 

HTML Hypertext Markup Language-Standardisierte Seitenbeschreibungssprache für Seiten 

im Internet/Intranet 

HVBG Hauptverband der gewerblichen Berufsgenossenschaften 


i. S. 

i. S. d. 

i. S. v. 

i. V. m. 

IAO 

1ATA 

ICAO 

ICHEIC 

IKPO 

IMK 

IMSI 

INPOL 

InsO 

IP 

IP6 

ISDN 

ISP 

IT 

IT SEC 
ITF 
luK 
IVBB 


im Sinne 

im Sinne des (der) 

im Sinne von 

in Verbindung mit 

International Awareness Office 

International Air Transport Association 

International Civil Aviation Organization 

International Commission on Holocaust Era Insurance Claims 

Internationale Kriminalpolizeiliche Organisation 

Ständige Konferenz der Innenminister und -Senatoren der Länder 

International Mobile Subscriber Identity 

Informationssystem der Polizei 

Insolvenzordnung 

Internet Protocol 

Internet Protocol Version 6 

Integrated Services Digital Network 

Internet Service Provider 

Informationstechnik 

Information Technology Security Evaluation Criteria 
Internet Task Force 

Informations- und Kommunikationstechnologie 
Informationsverbund Berlin-Bonn 


KAN 
KBA 
KB St 

KOM 

KSV 


Kriminalaktennachweis 

Kraftfahrt-Bundesamt 

Koordinierungs- und Beratungsstelle der Bundesregierung für Informationstechnik 
in der Bundesverwaltung 
Europäische Kommission 
Kreditschutzvereinigung GmbH 


LAN 

LBA 

LfD 

LG 

LKA 

LuftVG 

LuftVZO 

LuftVZÜV 


Local Area Network 

Luftfahrt-B undesamt 

Landesbeauftragter für den Datenschutz 

Landgericht 

Landeskriminalamt 

Luftverkehrsgesetz 

Luftverkehrs-Zulassungs-Ordnung 

Luftverkehr-Zuverlässigkeitsüberprüfungsverordnung 
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m.E. 

meines Erachtens 

MAD 

Militärischer Abschirmdienst 

MADG 

Gesetz über den MAD 

MAdLAN 

Multilinguales Adresssystem im Local Area Network 

MARIS 

Migration Asyl Reintegrationssystem (Workflowsystem) 

MDK 

Medizinischer Dienst der Krankenversicherung 

MoZArT 

Modellprojekte zur Verbesserung der Zusammenarbeit zwischen Arbeitsämtern und 
Trägern der Sozialhilfe 

MRRG 

Melderechtsrahmengesetz 

NADIS 

Nachrichtendienstliches Informationssystem 

NJW 

Neue Juristische Wochenschrift 

Nr. 

Nummer 

Nm. 

Nummern 

o. g. 

oben genannt 

OECD 

Organisation für wirtschaftliche Zusammenarbeit und Entwicklung 

OLG 

Oberlandesgericht 

OP-Protokoll 

Operationsprotokoll 

OpenLdap 

ein freier Server auf der Grundlage des Lightweight Directory access Protocol 
(LDAP) 

OSS 

Open Source Software 

PC 

Personalcomputer 

PDSV 

Postdienstunternehmen-Datenschutzverordnung 

PEPSY 

Personalverwaltungssystem des Auswärtigen Amtes 

PERFIS 

Personalfiihrungs- und Informationssystem der Bundeswehr 

PersVG 

Personalvertretungsgesetz 

PET 

Privacy Enhancing Technology 

PIN 

persönliche Identifikationsnummer 

PKGr 

Parlamentarisches Kontrollgremium 

PKGrG 

Gesetz über die parlamentarische Kontrolle nachrichtendienstlicher Tätigkeit des 
Bundes-Kontrollgremium 

Po stG 

Postgesetz 

Protection Profile 

Schutzprofil 

PSA 

Personal-Service-Agentur 

PZD 

Personenzentraldatei 

RegTP 

Regulierungsbehörde für Telekommunikation und Post 

Reha 

Rehabilitation 

Residenture 

eine mit Billigung der Regierung des Einsatzlandes eingerichtete 
Auslandsdienststelle eines Nachrichtendienstes 

S. 

Seite 

s. 

siehe 

SaD 

System zur automatisierten Datenschutzprüfung 

s. 0 . 

siehe oben 

s. u. 

siehe unten 

SAP R/3HR 

Datenbanksystem der Fa. SAP (Personahnformationssystem) 

SCHUFA 

Schutzgemeinschaft für allgemeine Kreditsicherung 

SDÜ 

Schengener Durchführungsübereinkommen 

SG 

Soldatengesetz 

SGB 

Sozialgesetzbuch 

SGB I 

Sozialgesetzbuch Erstes Buch (Allgemeiner Teil) 

SGB III 

Sozialgesetzbuch Drittes Buch (Arbeitsförderung) 

SGB IV 

Sozialgesetzbuch Viertes Buch (Gemeinsame Vorschriften für die 
Sozialversicherung) 

SGB V 

Sozialgesetzbuch Fünftes Buch (Gesetzliche Krankenversicherung) 

SGB VI 

Sozialgesetzbuch Sechstes Buch (Gesetzliche Rentenversicherung) 

SGB VII 

Sozialgesetzbuch Siebentes Buch (Gesetzliche Unfallversicherung) 

SGB IX 

Sozialgesetzbuch Neuntes Buch (Rehabilitation und Teilhabe behinderter 
Menschen) 
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SGBX 

Sozialgesetzbuch Zehntes Buch (Sozialverwaltungsverfahren und 
Sozialdatenschutz) 

SGB XI 

Sozialgesetzbuch Elftes Buch (Soziale Pflegeversicherung) 

SigG 

Signaturgesetz 

SIRENE 

Supplementary Information Request at the National Entry (=Nationales Büro im 
Rahmen der Schengen-Kooperation) 

SIS 

Schengener Informationssystem 

SMS 

Short Message Service 

sog. 

sogenannt 

SSL 

Secure Socket Layer 

STADA 

Staatsangehörigkeitsdatei 

Stasi 

Staatssicherheitsdienst der ehemaligen DDR 

StDAV 

Steuerdaten- Abruf- Verordnung 

StGB 

Strafgesetzbuch 

StPO 

Strafprozessordnung 

StUG 

Gesetz über die Unterlagen des Staatssicherheitsdienstes der ehemaligen Deutschen 
Demokratischen Republik (Stasi-Unterlagen-Gesetz) 

StVBG 

Steuerverkürzungsbekämpfungsgesetz 

SÜG 

Sicherheitsüberprüfungsgesetz 

TB 

Tätigkeitsbericht 

TBG 

Terrorismusbekämpfungsgesetz 

TDDSG 

Teledienstedatenschutzgesetz 

TDG 

Teledienstegesetz 

TDSV 

Telekommunikations-Datenschutzverordnung 

THA 

Treuhandanstalt 

TK 

Telekommunikation 

TK-Anlage 

Telekommunikationsanlage 

TKG 

Telekommunikationsgesetz 

TKÜV 

Telekommunikations-Überwachungsverordnung 

TKV 

Telekommunikations-Kundenschutzverordnung 

TMS 

Travel-Management-System 

u. a. 

unter anderem 

u. Ä. 

und Ähnliches 

u. U. 

unter Umständen 

UKlaG 

Unterlassungsklagengesetz 

UKPV 

Unabhängige Kommission zur Überprüfung des Vermögens der Parteien und 
Massenorganisationen der DDR 

UMTS 

Universal Mobile Telecommunications System 

URL 

Uniform Resource Locator 

usw. 

und so weiter 

UVT 

Unfallversicherungsträger 

UWG 

Gesetz gegen den unlauteren Wettbewerb 

VDR 

Verband Deutscher Rentenversicherungsträger 

vgl. 

vergleiche 

v.H. 

von Hundert 

VwVfG 

Verwaltungsverfahrensgesetz 

WAP 

Wireless Application Protocol 

WEWIS 

Wehrersatzwesen-Informationssystem 

WP 

Working Paper 

WWW 

World wide web 

z. B. 

zum Beispiel 

z. T. 

zum Teil 

ZDG 

Zivildienstgesetz 

ZDPersAV 

Verordnung über die Führung der Personalakten im Zivildienst - Zivildienst- 
Personalaktenverordnung - 
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ZERV 

Zentrale Ermittlungsstelle der Kriminalpolizei für Regierungs- und 
Vereinigungskriminalität beim Polizeipräsidenten in Berlin 

ZFnrG 

Zollfahndungsneuregelungsgesetz 

ZIS 

Zollinformationssystem 

ZKA 

Zollkriminalamt 

ZStV 

Zentrales Staatsanwaltschaftliches Verfahrensregister 

ZWG 

Zollverwaltungsgesetz 
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Tätigkeitsbericht 

Berichtszeitraum 

Bundestagsdrucksachennummer 

1 . 

1978 

8/2460 

2. 

1979 

8/3570 

3. 

1980 

9/93 

4. 

1981 

9/1243 

5. 

1982 

9/2386 

6. 

1983 

10/877 

7. 

1984 

10/2777 

8. 

1985 

10/4690 

9. 

1986 

10/6816 

10. 

1987 

11/1693 

11. 

1988 

11/3932 

12. 

1989 

11/6458 

13. 

1990 

12/553 

14. 

1991-1992 

12/4805 

15. 

1993-1994 

13/1150 

16. 

1995-1996 

13/7500 

17. 

1997-1998 

14/850 

18. 

1999-2000 

14/5555 
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